Menaces pour la cybersécurité, atteintes à la libre concurrence : banques et start-up financières s'affrontent à propos d'une directive européenne cruciale pour le monde bancaire qui craint de devoir partager l'accès aux données de ses clients.
La Commission européenne a présenté lundi les "normes techniques" qui régiront l'application de sa "directive révisée des services de paiement", alias DSP2, censée prendre effet début 2018.
Derrière cet intitulé à rallonge, c'est un bouleversement potentiel qui attend le secteur bancaire.
"Les banques vont bientôt perdre le monopole qu'elles détiennent sur les données de paiement de leurs clients", expliquait vendredi Benoît Coeuré, membre du directoire de la Banque centrale européenne (BCE), lors d'une conférence à Paris.
L'enjeu est crucial pour les "fintech", ces start-up qui numérisent et veulent réinventer la banque. Parmi les premiers concernés figurent les agrégateurs, comme Bankin' ou Linxo, qui proposent une seule interface pour gérer des comptes domiciliés chez plusieurs banques. D'autres, comme Lydia, surfent sur le paiement mobile.
Les fintech pourraient "chasser les banques hors d'une vaste gamme de services financiers", prévenait M. Coeuré, y voyant des "implications pour la stabilité financière" et promettant toute l'attention des autorités de supervision comme la BCE.
Chez les banques traditionnelles, certains estiment que la Commission européenne est allée vite en besogne avec l'adoption fin 2015 de cette directive.
Un banquier français ironisait ainsi, fin octobre, jugeant que Bruxelles aurait été plus timorée si le piratage massif comme celui de l'agence américaine de crédit Equifax - 145 millions de clients touchés - s'était produit quelques années plus tôt.
- Guerre de lobbies -
Chez les fintech, à l'inverse, on craint que les banques se soient trop bien fait entendre des régulateurs au cours du long processus de raffinage de la directive entre son adoption et son entrée en vigueur.
Un sujet, notamment, oppose frontalement les deux camps: le "web scraping". C'est sur cette technique, qui consiste à aller chercher les informations directement sur la banque en ligne via les identifiants du client, que repose actuellement le modèle de nombreuses start-up.
En juin, l'Autorité bancaire européenne, régulateur du secteur pour l'Union européenne (UE), s'était prononcée pour une interdiction de cette technique, présentée comme trop peu sécurisée par les banques.
A l'époque, le milieu des fintech avait clairement accusé l'autorité de n'être qu'une courroie de transmission des lobbies bancaires, telle la Fédération bancaire de l'Union européenne (EBF).
Le responsable d'une fintech regrette même un double discours de certaines grandes banques, se montrant prêtes au dialogue prises individuellement mais s'abritant derrière le discours intransigeant des lobbies.
Les lignes sont d'autant plus brouillées que certaines start-up ne se contentent pas de s'adresser aux particuliers mais proposent leur savoir-faire aux banques.
Finalement, Bruxelles s'est bien prononcée pour que les jeunes pousses soient forcées de passer par une interface de programmation contrôlée par la banque si celle-ci en fait le choix. Les établissements traditionnels devront mettre en place ces interfaces - dites API - d'ici septembre 2019.
Mais les fintech, qui redoutent que les banques ne jouent pas le jeu et proposent des interfaces peu performantes, ont obtenu gain de cause sur un élément crucial: si une API n'est pas viable, la start-up pourra en dernier recours revenir vers le "web scraping".
"On va pousser les banques à s'ouvrir de manière organisée, mais en leur mettant des contraintes pour être sûrs (...) que ce ne soit pas une manière de bloquer les fintech demain", résume Rémi Puissant, spécialiste des questions de paiement chez le spécialiste de la cybersécurité Gemalto.
Résultat: des réactions satisfaites des deux côtés, qui laissent croire que la Commission a trouvé, comme elle le promet un "juste équilibre".
"C'est un texte positif qui rassure les fintech", assure Joan Burkovic, cofondateur de Bankin', l'une des quelque 70 start-up du lobby "Avenir de la fintech européenne", saluant "un compromis qui fonctionne".
En face, à la Fédération bancaire française (FBF), on estime que Bruxelles a fait "le choix de la sécurité". Son de cloche semblable mais moins enthousiaste à l'EBF, qui estime que le recours en dernier recours au "web scraping" est "incompatible" avec la réalité.
Vos commentaires