Cet article appartient au dossier : Sharing economy : un nouveau business tisse sa toile.

Concurrence

Agrégateurs d'informations et initiateurs de paiement : des prestataires en mal de réglementation ?

Avec la publication de la proposition de directive sur les services de paiement (DSP 2) le 24 juillet 2013, la Commission européenne intègre une innovation de taille : la reconnaissance et donc l’encadrement juridique de l’activité des nouveaux acteurs que sont les services d’information sur les comptes et les services d’initiation de paiement.

L'auteur

Revue de l'article

Cet article est extrait de
Revue Banque n°776

Sharing economy : un nouveau business tisse sa toile

Les problématiques que pose l'activité de ces nouveaux entrants, services d’information sur les comptes et services d’initiation de paiement, pourraient être ainsi résolues, pour autant que la DSP 2, toujours en discussion, prévoie une rédaction garantissant aux clients comme aux intervenants à la fois la sécurité et la prise en compte des évolutions technologiques.

De nouveaux acteurs aux services innovants

À côté des acteurs traditionnels du secteur que sont les établissements de crédit, mais également les établissements de paiement [1] et les établissements de monnaie électronique [2], sont apparus des tiers agissant à la lisière de ces activités et qui ne sont pas, pour le moment, soumis au respect des règles prudentielles.

Ainsi, parmi ces nouveaux acteurs figurent des prestataires proposant de regrouper et d’agréger l’ensemble des données issues des comptes bancaires d’un utilisateur (services « d’agrégation d’informations »). Celui-ci bénéficie ainsi d’une vision transversale de ses comptes, consolidée sur une seule interface, indépendante des banques gestionnaires de ces différents comptes. Le service rendu est indéniable, d’autant qu’il est souvent gratuit : l’exploitation statistique de ces données financières, consolidées et anonymisées, peut se révéler extrêmement précieuse pour le prestataire, par exemple dans le cadre d’un traitement Big Data (ou mégadonnées [3]).

Outre cet aspect expliquant l’intérêt des nouveaux acteurs, la centralisation de la vision des comptes chez un opérateur peut également entraîner des conséquences majeures, en supprimant la nécessité pour le client de se connecter sur chacun de ses outils de banque en ligne :

  • une perte d’audience des espaces personnels des sites de banque en ligne, alors même que c’est dans cet espace que la relation entre la banque et le client s’opère à l’heure de la transformation numérique (propositions de produits financiers complémentaires, etc.) ;
  • et, corrélativement, la captation de ces audiences pour augmenter celle du nouvel acteur en place, celui-ci pouvant devenir un point de passage majeur dans la relation des banques avec leurs clients [4].

Les nouveaux acteurs du domaine ont également pris la forme de tiers permettant d’initier des paiements et de les transmettre (là aussi possiblement de façon centralisée) aux établissements de paiement dont ils sont directement clients. Ces « services d’initiation de paiement » se sont surtout développés dans d’autres pays européens.

Initiateurs de paiement comme agrégateurs d’informations se retrouvent sous l’appellation chapeau de « PSP tiers » dans la proposition de directive DSP 2, toujours en discussion.

Et si l’un des principaux objectifs de ce texte est de réussir à encadrer l’activité de ces nouveaux acteurs, ce n’est pas dans l’objectif de limiter ou de supprimer les innovations et donc de freiner la concurrence. Cet encadrement, souhaité par la Commission européenne, a surtout pour énorme avantage, du point de vue de ces acteurs, d’entraîner leur reconnaissance et donc de leur permettre l’exercice de leur activité. Celle-ci soulève en effet des questions juridiques depuis l’origine.

De nouveaux services créant de nouveaux risques

En effet, si l’on reprend l’exemple des services d’agrégation d’informations, la centralisation d’informations qu’ils opèrent nécessite d’avoir accès aux comptes en ligne pour télécharger directement les informations [5].

Si de rares prestataires proposent des fonctions approchantes en accord avec les établissements de crédit concernés et suivant leurs processus d’authentification [6], la plupart se contentent de demander aux clients leurs données d’authentification aux différents systèmes de banque en ligne pour se faire passer pour eux [7]. Ce mode de fonctionnement, s’il est incontestablement plus simple pour l’utilisateur et permet, pour le prestataire, la centralisation des données et des audiences abordées plus haut, n’en est pas moins juridiquement discutable, à plusieurs égards. Notons d’ailleurs que le fonctionnement est identique concernant les services d’initiation de paiement : là également, le prestataire se fait communiquer les moyens d’authentification permettant la reconnaissance du client par son prestataire de paiement et agit à sa place.

Or, la CNIL s’interrogeait déjà sur l’antenne de France Info le 16 septembre 2011 [8], à côté des sujets précédemment abordés comme la régulation de ces acteurs ou encore quant à l’utilisation commerciale des données collectées, sur le risque de sécurisation des moyens d’authentification confiés par les utilisateurs et la problématique du respect des conditions générales d’utilisation de leurs banques [9].

À cet égard, une décision de référé d’un Tribunal néerlandais [10] du 30 juillet 2014, précisément saisi de ce type de question, a pu considérer que ces agissements étaient illégaux et devaient cesser sous astreinte, notamment car cette communication constituait pour les clients une violation des contrats les liant avec leur banque, et contrecarrait la communication des banques en matière de sécurité [11]. Certes, la décision n’est pour l’heure rendue qu’en référé, mais d’autres fondements juridiques pourraient également être invoqués et discutés à l’encontre de cette activité, y compris au plan pénal [12].

D’ailleurs, en pratique, le fait pour une banque de recevoir de multiples connexions d’une adresse IP inconnue se connectant sans accord préalable à un grand nombre de comptes n’est pas, en soi, différent d’une tentative d’attaque informatique de ses systèmes. Un tel acte pourrait légitimement conduire la banque à fermer les accès en question en raison de la tentative de fraude supposée et d’agir, le cas échéant en justice, contre X, contre le titulaire de l’adresse IP en question.

Plus globalement, le fait que ces PSP tiers détiennent les moyens d’authentification des clients et s’insèrent dans la chaîne d’accès sécurisé à leur banque en ligne représente un risque important [13], voire systémique, alors même que les banques sont responsables de la sécurité et de la protection des données de leurs clients [14]. N’ayant pas la maîtrise de la procédure d’authentification créée par la banque et se greffant sans accord préalable, ils ne peuvent qu’en amoindrir la sécurité [15]. Permettre une telle fragilité serait paradoxal alors que la DSP 2 impose un renforcement très notable des règles de sécurisation [16], que la proposition de règlement européen sur la protection des données à caractère personnel va dans le même sens [17]et que la CNIL en France renforce déjà fortement la portée de l’obligation légale de sécurisation [18].

L’encadrement réglementaire, un mal nécessaire dont les termes sont en cours de négociation

À l’occasion de la rédaction du Livre vert du 11 janvier 2012 « Vers un marché intégré des paiements par carte, par internet et par téléphonie mobile●», la Commission européenne a ouvert la voie de la reconnaissance [19] et donc de l’encadrement de telles activités, afin que l’innovation apportée puisse l’être dans le cadre des règles de sécurité appropriée. C’est en tout cas le sens de la question 13 de la consultation organisée à cette occasion [20]. À la suite de divers travaux et consultation [21], la Commission a formalisé l’idée selon laquelle, les paiements ne devraient plus dépendre d'un compte ouvert dans une banque précise, mais devraient pouvoir être effectués par toute une série de moyens, en intégrant dans sa proposition de DSP 2 du 24 juillet 2013 les « évolutions technologiques●» et en permettant le développement de « services de paiement électronique sur internet compétitifs●», via la création des PSP tiers. Comme l’énonce son considérant 3, « ce segment renferme un potentiel considérable et prometteur qu'il convient d'exploiter de manière plus cohérente».

Prévus par la DSP 2, ces services acquièrent une légitimité d’autant plus grande qu’ils seront agréés, supervisés à l’instar de tout prestataire de services de paiement et mis à niveau en termes de sécurité à l’égal des autres PSP.

Le texte même de cette directive est toutefois toujours en discussion au Conseil de l’UE, le Parlement ayant adopté des amendements le 3 avril 2014, mais sans résolution législative. Il reste en effet d’importantes discussions autour de notions clés et notamment :

  • le cadre exact de la réglementation applicable aux PSP tiers (en distinguant ou pas entre les services proposés ?) ;
  • la question de la responsabilité vis-à-vis des utilisateurs et donc du remboursement en cas de fraude (reposant, dans la rédaction du 3 avril, sur le PSP du client et non sur le PSP tiers) ;
  • les conditions d’accès au compte client, l’identité du prestataire réalisant le contrôle d’authentification, l’éventuelle détention par le PSP tiers des moyens d’authentification du client, ou encore la traçabilité de l’ensemble ;
  • la connaissance du PSP tiers par le PSP du client et surtout du cadre contractuel les liant (le projet actuel empêchant un tel cadre).

Beaucoup de travail reste donc à faire dans les mois qui viennent pour permettre l’innovation sans atteindre à la sécurité des opérations.

Dans ce nouveau paradigme et sous la pression de ces services innovants, certains peuvent craindre que les banques ne deviennent que les back-offices des usines à centraliser, traiter et utiliser les données que sont ces nouveaux prestataires. Mais ce serait également oublier que la DSP 2 ouvre le jeu à tous les acteurs et permet donc également aux PSP « historiques » de se lancer, eux aussi et en toute légalité, dans ce type d’activités, pour profiter de toutes les opportunités que l’exploitation de ces services innovants peut leur apporter.

[1] Créés par la directive 2007/64/CE du 13 novembre 2007 « concernant les services de paiement dans le marché intérieur, modifiant les directives 97/7/CE, 2002/65/CE, 2005/60/CE ainsi que 2006/48/CE et abrogeant la directive 97/5/CE » (dite DSP).

[2] Créés par les directives concernant la monnaie électronique dites « DME » du 18 septembre 2000 (directive 2000/46/CE « concernant l'accès à l'activité des établissements de monnaie électronique et son exercice ainsi que la surveillance prudentielle de ces établissements ») et surtout « DME 2 » du 16 septembre 2009 (directive 2009/110/CE « concernant l’accès à l’activité des établissements de monnaie électronique et son exercice ainsi que la surveillance prudentielle de ces établissements, modifiant les directives 2005/60/CE et 2006/48/CE et abrogeant la directive 2000/46/CE »).

[3] Terme consacré par la décision de la Commission de néologie et de terminologie de la langue française, JORF n° 0193 du 22 août 2014, p. 13972.

[4] Notamment dans l’hypothèse de transmission de messages ou d’informations commerciales aux clients ayant perdu l’habitude de se rendre sur leur espace de banque en ligne, voire plus globalement sur le site de la banque.

[5] L’époque où l’utilisateur « nourrissait » à la main le logiciel des informations recueillies par ses soins auprès de ses différents espaces de banque en ligne est en effet révolue en pratique.

[6] On peut ainsi prendre l’exemple de Digiposte, qui met à disposition les relevés de compte des banques partenaires du service.

[7] Pour reprendre le contenu figurant sur les foires aux questions ou dans les mentions légales de tels services dans lesquels ils décrivent leur action, ils utilisent « accès client de la banque » et automatisent « les actions que ferait une personne se connectant au site de sa banque pour lire ses opérations et consulter le solde de ses comptes », tout en considérant qu’il n’est « pas utile » de demander l’accord des banques concernées.

[8] L’interview de Sophie Vulliet-Tavernier, à l’époque directeur des études de l’innovation et de la prospective de la CNIL, aujourd’hui directeur des relations avec les publics et recherche, est disponible ici : http://www.franceinfo.fr/emission/le-droit-d-info/2011-2012/agregateurs-de-comptes-bancaires-09-16-2011-00-00.

[9] Lesdites conditions générales ne prévoyant ni l’action de tels tiers à la relation contractuelle, ni la possibilité de leur transmettre les moyens d’authentification personnels du client.

[10] Décision (kort geding) de la District Court of Midden-Nederland, disponible en néerlandais à partir du lien suivant : http://uitspraken.rechtspraak.nl/inziendocument?id=ECLI:NL:RBMNE:2014:3250

[11] Notons que le Tribunal a également refusé de prendre en compte l’existence de la proposition de DSP 2 encadrant l’activité de tels prestataires, en l’absence de texte définitif et opposable.

[12] En France, la question de la constitution du délit d’intrusion frauduleuse sur le système de traitement automatisé de la banque (article 323-1 du Code pénal) pourrait ainsi, en fonction des circonstances de fait, être posée.

[13] Risque facilité d’attaque du type Man in the Middle, de social engineering ou encore de phishing, d’autant plus que la banque ignorerait l’existence du recours par le client à un PSP tiers.

[14] Notamment en vertu de l’obligation de sécurisation des données à caractère personnel issu de l’article 34 de la loi informatique et libertés du 6 janvier 1978 modifiée et de l’article 14 c du règlement n° 97-02 du 21 février 1997 modifié « relatif au contrôle interne des établissements de crédit et des entreprises d’investissement » qui renforce très nettement la portée cette obligation.

[15] Par exemple en prévoyant des mots de passe plus faibles que ceux de la banque la plus sécurisée du panel utilisé par le client ou en prévoyant des systèmes de renvoi du mot de passe trop simples, etc.

[16] À travers notamment les articles 84 à 87 de la proposition, la mise en place de l’authentification forte, le rôle de l’ABE sur l’élaboration de normes techniques, etc.

[17] Avec notamment la dernière version du texte prévoyant, en cas de manquement aux règles de sécurité des données à caractère personnel, une amende administrative « d’un montant pouvant atteindre 100 000 000 euros ou au maximum 5 % du chiffre d'affaires annuel mondial dans le cas d'une entreprise, le montant le plus élevé devant être retenu ».

[18] Voir à ce sujet la délibération de la CNIL « de la formation restreinte n°2014-238 du 12 juin 2014 prononçant un avertissement rendu public à l’encontre de la société DHL DHL International Express France » transformant l’obligation de moyen en obligation de résultat du fait de la présomption de connaissance du défaut de sécurité ou encore délibération de la CNIL « de la formation restreinte n°2014-298 du 7 août 2014 prononçant un à l’encontre de la société ORANGE ».

[19] « Pour de nombreux modèles opérationnels de services de paiement, les informations préalables sur la disponibilité des fonds – nécessaires pour les autorisations et/ou garanties de paiement d’une transaction donnée – sont un élément essentiel. En tant qu'instances d'hébergement des comptes bancaires, les banques ont une fonction de “passerelle” déterminante pour la viabilité de nombreux modèles opérationnels » : extrait du Livre vert du 11 janvier 2012 « Vers un marché intégré des paiements par carte, par internet et par téléphonie mobile », p. 13.

[20] « Est-il nécessaire de permettre à des établissements non bancaires, avec l’accord du client, d’accéder aux informations concernant la disponibilité de fonds sur les comptes bancaires et si oui, quelles limites faudrait-il poser à de telles informations ? Devrait-on envisager une intervention des pouvoirs publics et si oui, quels aspects devrait-elle couvrir et quelle forme devrait-elle prendre ? »

[21] Voir à ce sujet la consultation publique de la BCE « sur les services d’accès aux comptes de paiement » du 1er février 2013.

 

Sommaire du dossier

Sharing economy : un nouveau business tisse sa toile

Articles du(des) même(s) auteur(s)

Sur le même sujet