Vers une interdiction du « web scraping » ?

Très attendus, les principaux standards techniques relatifs à la DSP 2 ont été publiés par l’EBA fin février [1] . La consultation d’août 2016 avait recueilli plus de 220 réponses, un record. Cette nouvelle version des standards doit encore être formellement adoptée par la Commission. L’un des points les plus sensibles du RTS renvoie à la manière dont les nouveaux tiers de paiement – les AISP [2] ou agrégateurs de comptes et les PISP [3] ou initiateurs de paiement – et les teneurs de comptes (ASPSP [4] ) communiquent. Les FinTechs qui ont déjà investi le créneau, comme Bankin ou Linxo, pratiquent le web scraping : elles envoient des « robots » sur les espaces de banque en ligne des clients pour réaliser à leur place les opérations de consultation et de virement. Une démarche insatisfaisante tant pour les banques, qui voient leurs systèmes sollicités par ces robots non identifiés, que pour ces tiers, qui développent leurs programmes banque par banque et doivent tout recommencer dès que l’établissement change son espace client. La DSP 2 et ce RTS visent donc à cadrer ce dialogue, par un accès direct ou une interface commune dédiée (API [5] ). Reste que le texte publié fin février est flou sur l’obligation pour le tiers d’utiliser l’API mise à disposition par la banque et sur l’interdiction formelle du web scraping. Dans ses propos introductifs, l’EBA mentionne explicitement une interdiction de la pratique dès que le RTS sera en vigueur. Mais l’article 27 du texte réglementaire lui-même est plus flou. « L’interdiction du web scraping est dans l’esprit de la directive », plaide un proche des négociations. La Commission, le Parlement et le Conseil, qui doivent tous trois, analyser le texte et peuvent soumettre des amendements à l’EBA, éclairciront-ils la question ? Cela retarderait en tout cas l’adoption définitive du RTS comme acte délégué et donc son entrée en vigueur 18 mois plus tard. Elle interviendra donc au plus tôt à l’automne 2018 et au plus tard au printemps 2019, soit des mois après l’entrée en vigueur de la DSP 2 elle-même, le 13 janvier prochain. En attendant, la profession française avance sur l’élaboration d’un standard de Place pour la rédaction de ces API… et les FinTechs continuent à pratiquer le web scraping.