Les lecteurs de Revue Banque le savent : l’an prochain, deux nouvelles régulations vont intervenir sur la façon dont les banques et leurs écosystèmes doivent gérer leurs données et celles de leurs clients. D’un côté, la DSP2 (directive sur les services de paiement), qui prône une ouverture des systèmes d’information bancaires aux agrégateurs de comptes et aux initiateurs de paiements, et de l’autre le RGPD (règlement général sur la protection des données), qui impose un cadre plus strict aux entreprises traitant des données personnelles de clients européens, avec notamment une meilleure information sur la façon dont celles-ci sont traitées, protégées et utilisées. Si nous avons largement exposé dans nos dossiers précédents les conséquences de chacune de ces réglementations pour les banques et les services financiers, il est temps de voir comment, en pratique, ceux-ci peuvent respecter les deux en même temps. Au-delà des contradictions apparentes, ces deux obligations se renforcent en fait l’une et l’autre et forcent les équipes de la direction informatique et des différents métiers à mieux repenser l’usage qu’ils font des données. À terme, elles pourraient même pousser à proposer de nouveaux services.
Se mettre en conformité avant de penser aux nouveaux services
Pour Sven Radulovic, responsable de la conformité et des risques chez la néo-banque Ditto by Travelex, « il faut penser au RGPD lors de la mise en place de tout projet, y compris les projets DSP2. Ces réglementations ne sont pas contradictoires, car l’objectif n’est pas le même. L'objectif du RGPD est la protection des données personnelles, alors que la DSP2 cible les évolutions technologiques et les nouveaux services/comportements du marché. » Pour sa banque, particulièrement tournée vers l’international, la réponse se fera en deux temps. « Demain, les banques vont pouvoir apporter une meilleure visibilité sur l’en- semble des comptes et activités de leurs clients. La mise en conformité implique l’ouverture de ses données vers d’autres acteurs de la Place pour qu’ils y accèdent également. De manière natu- relle, dans un premier temps, nous allons nous diriger vers une mise en conformité, puis vers des services additionnels à valeur ajoutée pour nos clients. Nous sommes en train de définir ces services. De manière générale, la conformité au RGPD et à la DSP2 est un avantage compétitif hors Union européenne, car cela correspond à la mise en place de bonnes pratiques qui protègent les utilisateurs de services bancaires. Ainsi, nos clients présents dans d’autres pays bénéficieront de cette structure et de cette sécurité. »
C’est un point que reconnaît également Salim Hafid, responsable produit chez BitGlass, un service sécurisant l’accès aux données de l’entreprise dans le cloud : « La tendance de ces deux réglementations est d’être très complémentaire sur la façon dont on accède aux données. Travaillant à l’international, nous avons un objectif fort de protection des données à travers plusieurs applications dans le cloud en maintenant une parfaite conformité avec les réglementations. Pour l’instant, il n’y a pas d’équivalent au RGPD aux États-Unis, comme son champ d’action, très large, touche tous les points du système d’information. La protection des données se traite encore aux niveaux des organisations, mais cela va forcément changer. »
Encadrer les responsabilités de chacun
Comment mettre en place ces changements ? Pour Gabriel Lepervier, responsable de l’activité Security Assurance chez Verizon, l’expérience réalisée avec la norme de sécurité de l’industrie des cartes de paiement PCI DSS doit servir aux banques : « Le premier aspect est un aspect contractuel : il faut pouvoir faire peser la responsabilité de protéger les données de ses clients sur ses fournisseurs et ses prestataires de services de sécurité. C’est déjà le cas dans PCI DSS, comme le prévoit son
Quel outil technique pour marquer le consentement ?
Un autre point important dans la mise en œuvre de ces deux nouvelles normes va être la question du consentement. Pour Marie-Benoîte Chesnais, experte en sécurité chez CA Technologie, « la notion de consentement est commune aux réglementations DSP2 et RGPD. Son implémentation aura des impacts techniques sur les systèmes d’information et les applications à destination des clients. Elle est prévue dans le
Si, pour CA Technologie, le point du consentement semble se régler par l’utilisation de standards d’authentification forte, en l’absence d’un RTS précis – ce qui devrait toutefois intervenir dans les semaines à venir –, les consultants de Deloitte sont plus prudents et regrettent le manque de précision. Pour Julien Maldonato de Deloitte, « les deux textes veulent vraiment protéger le consommateur dans la maîtrise de ses données. La question de l’accès du consommateur à ses données sera tranchée par la RTS, qui déterminera si cela se fera via des APIs ou en webscrapping. La DSP2 ne prévoit pas une largeur d’accès aux données, et il n’y a pas non plus de définition exacte des données de paiement sensibles. Du coup, quelles sont la nature des données, la profondeur d’historique et la “fraîcheur” imposée ? En fonction des textes et des techniques associées, il y aura des différences, en sachant qu’il y a aussi un impact sur la sécurité : si on continue la technologie de webscrapping, cela revient à donner son identifiant/mot de passe à un tiers, ce qui quelque part constitue un risque de sécurité informatique. » A priori, pour Laurent Maréchal, expert cybersécurité chez McAfee, la DSP2 implique la mise en place d’une authentification forte, et la manière dont elle sera gérée devra être conforme au RGPD. « Quand on parle d’authentification forte et notamment de biométrie, il faut savoir où sont stockées les données et le RGPD arrive alors en continuité de la DSP2. Il reste quand même quelques interrogations : l’une des volontés affichées est de faciliter l’interconnexion avec l’ensemble des organismes bancaires. Comment m’assurer de la traçabilité des actions effectuées par mon organisme bancaire qui pourrait accéder à des tiers à mon insu ? C’est là que le RGPD intervient : toute collecte ou stockage d’information doit faire l’objet d’un consentement explicite par l’utilisateur. »
Quels services commerciaux en découleront ?
Malgré ces problèmes techniques, tant le RGPD que la DSP2 sont présentés comme étant l’occasion de proposer de nouveaux services aux clients des banques et des FinTechs. Serait-ce vraiment le cas ? Pour Marie-Benoîte Chesnais, les bénéfices pour les banques viendront d’abord d’une meilleure gestion de leurs données et d’une meilleure connaissance de leurs clients : « La construction par couches successives de nombreux systèmes d’information a créé un manque de cohérence dans les données des utilisateurs. La valeur métier portée par les données clients en est fortement dégradée. L’obligation de transparence et d’accès simplifié faite par la RGPD entraînera mécaniquement une meilleure qualité et une connaissance du client beaucoup plus fiable. Des traitements d’analyse plus pertinents pourront être proposés, afin d’améliorer les services aux clients et promouvoir des offres de manière plus ciblée. Par ailleurs, l’ouverture du système d’information bancaire prévu dans la DSP2 va nécessairement accroître la concurrence ; c’est l’un des enjeux de cette réglementation. » Julien Maldonato estime que « si l’on parle beaucoup des nouveaux services comme d’un futur relais de croissance des banques, les pistes ne concernent que le fait d’accompagner le client en amont ou en aval d’une transaction financière. Mais il serait difficile de faire des paris en cette période sur une vraie évolution en 2018. Des services financiers ne pourront aller vers plus de conseil et plus d’accompagnements sans avoir des lignes directrices ayant surmonté des problématiques opérationnelles : recentraliser les données, faire des corrélations. Cela fait des années que les projets sont lancés, mais cela prend du temps, car il existe une grande variété des systèmes d’information, et cela s’inscrit dans d’autres projets multiannuels. » Il voit plus une opportunité liée plus spécifiquement au RGPD : « Il faut trouver un sens opportuniste au RGPD et faire de la pédagogie. La plupart des données françaises partent vers des acteurs américains et chinois. Pourquoi les banques ne garderaient pas leur rôle de dépositaire de confiance en étant dépositaire de vos données personnelles ? Le RGPD pourrait leur permettre de jouer un rôle dans la vie numérique de leurs clients, là où les tentatives de coffre-fort numérique n’ont pas fonctionné, au-delà de la donnée des flux financiers. Ce sont des choses sur lesquels les banques doivent co-créer de nouvelles offres d’assistance à la gestion des données avec les clients finaux. »
Le calendrier sera-t-il respecté ?
Des incertitudes techniques, des opportunités commerciales et techniques à venir encore bien floues… Et pourtant, les dates de mises en application s’approchent très vite. Et si les banques n’étaient pas tout simplement pas prêtes ? Par le petit bout de sa lorgnette, à savoir l’expérience client en ligne et sur mobile des banques, Nicolas Babel cofondateur de l’agence de notation des risques numériques D-Rating en doute : « La capacité à mettre en œuvre les éléments imposés sera une bonne façon de voir le degré d’agilité des grandes banques. Certaines banques sont en retard sur le numérique, tels Crédit du Nord, ou Crédit Mutuel Arkéa et Crédit Mutuel tant au niveau du réseau traditionnel et de l’action vis-à-vis des clients. Au contraire, des banques comme le Crédit Agricole, BNP Paribas, Fortunéo et Boursorama sont en avance : elles ont intégré la digitalisation de l’offre, l’utilisation du Web et des réseaux sociaux. La baisse de fidélité attendue avec DSP2 et RGPD va peut-être permettre aux néobanques de s’imposer plus rapidement, parce qu’elles proposent des nouvelles offres de valeur. Par exemple, l’ouverture d’un compte en moins de 20 minutes avec carte activée d’un Compte Nickel et/ou d’un C-Zam est une vraie révolution. » Pour Jean-Christophe Vitu, directeur avant-vente de CyberArk, le retard s’explique aussi par les exigences de sécurité de Swift : « Des actions sont menées dans les banques sur le RGPD, même si certaines restent au stade organisationnel. On commence à mettre la déclinaison en interne ; en revanche, aucun client ne sera prêt en mai prochain. Sur la DSP2, c’est un peu différent : par défaut, nos grands comptes clients mettent déjà en place des mécanismes de sécurisation avec les prestataires extérieurs. Entre-temps, l’urgence concerne SWIFT. Suite à l’historique de ses compromissions, SWIFT a publié une directive de sécurité auprès de tous ses clients en leur demandant de mettre en place des mécanismes de sécurité et de leur présenter une roadmap concernant les points de contrôles, faute de quoi SWIFT dévoilerait publiquement les banques qui ne sont pas sécurisées. Du coup, cela a mis en pause tous les autres chantiers réglementaires. » Comme le dit Nicolas Fleuret de Deloitte, « il reste du pain sur la planche ! Sur l’aspect IT de la DSP2, les plus grands acteurs français et internationaux ont lancé des projets sur l’ouverture des systèmes sans attendre la directive. Dans la réalité, toutes les banques n’avancent pas aussi vite sur ces chantiers, en raison du grand nombre de couches applicatives accumulées dans les systèmes d’information. »
Son collègue Julien Maldonato relève quant à lui qu’« il y a des règlements techniques qu’on ne connaît pas encore sur l’authentification et la communication sécurisée, et donc les banques ne peuvent se mettre en conformité. Or ces points font le nœud avec le RGPD. Sur cet aspect plus technique, l’entrée en vigueur serait plutôt début 2019. Ce sont des chantiers complexes qui manquent encore de précisions techniques. » En conclusion, il est fort probable que, avancé ou non, personne ne soit prêt dans les temps.
