Nonante-trois pour cent des Belges n'ont encore jamais entendu parler de PSD2, la nouvelle directive européenne sur les services de paiement. Et 5% ignorent les implications précises de la directive. Le 14 septembre, PSD2 provoquera pourtant une petite révolution dans les services de paiement européens. Certes, le consommateur disposera de nouvelles possibilités de paiements. Mais il subsiste de grands points d'interrogation en matière de sécurité et de protection de la vie privée. Est-il judicieux d'ouvrir l'accès à votre compte à vue et à vos données de paiement ?

- Qu'est-ce que PSD2 ?

PSD2 est l'abréviation de Payment Services Directive 2, la nouvelle directive européenne qui régule les services de paiement. Tous les pays de l'Union européenne sont tenus de la transposer dans leur législation nationale. Avec PSD2, l'Europe veut accroître la concurrence dans le secteur bancaire et favoriser l'innovation dans les services de paiement - ce qui doit de mener en fin de compte à une baisse des tarifs et une augmentation de la qualité pour les clients.

- Que prévoit PSD2 ?

La directive sur les services de paiement veut donner aux clients le contrôle de leurs données de paiement. Si le titulaire d'un compte à vue le lui demande, une banque devra communiquer ses données de transaction à des tierces parties ( third party providers ou TPP). Ce peut être d'autres banques, mais aussi des fournisseurs de services de paiement, des boutiques en ligne ou des entreprises technologiques. Voire, dans certains cas, de petites entreprises qui travaillent comme intermédiaires pour ces grands clients.

PSD2 est entrée en vigueur le 13 janvier 2018. Une période d'un an et demi a été prévue pour donner aux banques la possibilité de se préparer d'un point de vue technologique à l'ouverture de leurs systèmes à des tierces parties. Cette période se termine 14 septembre 2019. A partir de cette date, les entreprises et organisations agréées par un organe de contrôle pourront demander l'accès aux données de paiement d'un client. Si le client donne son consentement exprès, les banques devront accorder cet accès.

- A quelles informations les tierces parties auront-elles accès ?

Si le client est d'accord, les tierces parties pourront accéder au solde du compte à vue, en consulter l'historique et effectuer des paiements au nom du client. En principe, le consentement du client s'applique pour 90 jours. La société en question pourra consulter le compte du client et son historique quatre fois par jour. Ces consultations pourront s'effectuer sans que le client en soit informé. Pour les paiements, le client devra chaque fois signer l'ordre de virement.

" PSD2 prévoit également une sécurisation accrue des paiements, explique Frederik Mennes, director product security chez le fournisseur de technologies de sécurité Onespan (anciennement Vasco). Tous les prestataires de services financiers devront désormais proposer une 'authentification à deux facteurs'. Au moins deux des trois facteurs de sécurité classiques devront être présents à chaque transaction : un élément que l'utilisateur possède (par exemple une application pour smartphones ou une carte de paiement), un élément que l'utilisateur sait (par exemple un code d'accès ou un code pin) et un élément inhérent à l'utilisateur (comme une empreinte digitale). Le code de vérification statique d'une carte de crédit ( les trois petits chiffres au verso de la carte, Ndlr) ne suffira donc plus. "

PSD2 oblige les banques à construire une passerelle, et toutes ne le font pas de gaieté de coeur " Pieter Schelfhout, cofondateur de Spencer

Il existe cependant des exceptions à cette nouvelle règle de sécurité. Elle ne s'applique par exemple pas aux montants modestes (moins de 30 euros par transaction, ou moins de 500 euros pour une série de transactions), si le paiement est effectué vers un bénéficiaire connu (comme un paiement mensuel à une entreprise télécom ou un fournisseur d'énergie), ou en cas de virement entre comptes propres.

- Quel est l'avantage pour le consommateur ?

PSD2 autorise les consommateurs à regrouper leurs données de paiement, par exemple, dans une seule application qui leur donnera accès à une liste de tous les comptes à vue ouverts auprès de différentes banques. Cela permettra une meilleure gestion du budget familial. De plus, ils pourront effectuer des paiements depuis plusieurs comptes à partir de cette application centrale. Concrètement : imaginez que vous ayez des comptes à vue chez CBC, Belfius et ING. Vous pourrez les regrouper sur une des applications de ces banques, et payer à partir du compte que vous préférez à ce moment-là.

" Cette possibilité profitera davantage aux indépendants et petites entreprises qui entretiennent plusieurs relations bancaires qu'aux particuliers ordinaires, remarque Rik Coeckelbergs, expert en paiement et fondateur de l'organisation de réseaux The Banking Scene. Cette liste des comptes transparente facilitera la gestion de leurs liquidités. "

A terme, les nouvelles possibilités d'utilisation pourraient favoriser la concurrence entre les banques pour l'application la plus conviviale, estime Rik Coeckelbergs. " Aujourd'hui, les clients sont encore relativement indifférents, notamment parce que les applications restent assez semblables et les nouvelles fonctionnalités sont rapidement copiées. A terme, la convivialité d'une application pourrait devenir déterminante dans le choix d'une banque principale. "

- Des entreprises non bancaires proposeront-elles également de tels services ?

Les petites et grandes entreprises technologiques pourront également proposer des relevés de comptes numériques dans une application. Elles pourront les combiner avec des conseils destinés à obtenir un prêt à de meilleures conditions ou réduire les factures énergétiques, ou des offres de magasins ou d'établissements horeca. L'accès aux données de paiements leur permettra de savoir chez qui vous achetez et combien d'argent vous y dépensez, et il sera possible de personnaliser énormément ce service. En Belgique, l'entreprise fintech Spencer de Davy Kestens construit une application qui permettra aux consommateurs de regrouper toutes leurs données financières, de recevoir des conseils personnalisés et de mieux gérer leurs finances. Le lancement est prévu pour fin octobre.

" Le client choisira lui-même de partager ou non ses données avec une tierce partie, précise Davy Kestens. Notre objectif est d'aider l'utilisateur à gérer ses finances en lui donnant une meilleure idée de ses revenus et dépenses. Nous lui soumettrons des suggestions sur la manière et les domaines dans lesquels il peut réaliser des économies, nous pourrons mettre sur pied des plans d'épargne et donner des conseils pour l'aider à mieux dépenser son argent. "

Spencer utilisera les données financières des clients pour réaliser des statistiques anonymisées et des études de marché. " La protection des données personnelles du client constitue un principe de base, poursuit-il. Spencer veut proposer aux entreprises commerciales des informations utiles sur le comportement des consommateurs sans qu'elles aient accès aux données personnelles. Nous avons même l'intention de reverser aux utilisateurs de l'application une partie des revenus qui proviendront des entreprises clientes. De cette manière, ils pourront eux aussi tirer profit de leurs données et obtenir un rendement sur leur compte à vue. "

" Je ne sais pas si les clients souhaitent également communiquer tous les détails de leur épargne et de leurs investissements. " Geert Van Mol (Belfius) © PG

- PSD2 est-elle une menace pour les banques ?

A partir de ce 14 septembre, les consommateurs pourront décider de faire exécuter leurs paiements directement par des entreprises technologiques, des boutiques en ligne ou des prestataires de services de paiement. Les banques seront alors reléguées à un rôle en coulisses. Elles verront ainsi diminuer les revenus qu'elles tirent des services de paiement. Ce n'est pas une bonne nouvelle pour le secteur alors que les marges d'intérêt sont également sous pression. " Il n'y a cependant pas grand-chose à gagner dans les services de paiements en Belgique, nuance Geert Van Mol, chief digital officer de Belfius. D'autant que c'est une activité qui exige de lourds investissements. Nous prévoyons de toute manière que les marges que nous réalisons sur les services de paiement vont retomber à zéro. Il n'y a donc aucun sens à nous opposer à l'ouverture de nos systèmes à nos concurrents. "

L'usage que feront les nouveaux acteurs des données de transaction d'un client représente une menace plus sérieuse. " Si vous suivez tous les revenus et dépenses d'une personne pendant trois mois, vous pourrez faire une estimation précise de sa solvabilité, explique Rik Coeckelbergs. Des tierces parties pourront alors proposer un crédit sur mesure aux clients d'une banque. A terme, cette possibilité pourrait être plus lourde de conséquences que l'ouverture des services de paiement pour le secteur "

- Comment les banques organisent-elles l'accès aux données des clients ?

L'accès à l'infrastructure informatique des banques s'effectue en principe via des passerelles numériques surveillées, les API ( application programming interfaces). Les banques peuvent ainsi laisser des parties accéder à un ensemble limité de fonctionnalités de manière contrôlée. " C'est la seule manière sûre d'établir une passerelle entre la banque et une autre institution, souligne Geert Van Mol. Quand on utilise des API, les mots de passe et les codes PIN ne sont pas enregistrés. "

" Le problème est qu'actuellement, le régulateur n'oblige pas les banques ou les tierces parties à travailler avec des API ", note Rik Coeckelbergs. Les techniques alternatives qui répliquent le processus d'accès à une application bancaire, comme le reverse engineering et le screen scraping (capture de données d'écran) ne sont pas interdites. BNP Paribas Fortis collabore par exemple avec l'entreprise fintech suédoise Tink, qui privilégie actuellement ces techniques. Mais cela pourrait changer à partir du 14 septembre, car BNP Paribas Fortis et Tink disent aussi préférer les API. Selon Geert Van Mol, l'utilisation du reverse engineering ou du screen scraping par des tierces parties comportent des risques significatifs.

- Quels sont les risques pour le client ?

La principale préoccupation est la sécurité, insiste Geert Van Mol. " Dans le cas du reverse engineering, le client doit communiquer ses données de connexion (mot de passe et/ou code d'accès) pour que la partie tierce puisse avoir accès à son compte à vue et à ses données de paiement, ajoute-t-il. De plus, ces données sont enregistrées. C'est comme si vous donniez votre carte bancaire et votre code pin à quelqu'un. C'est totalement contraire aux instructions de sécurité des banques. "

" L'obligation de communiquer leur mot de passe est assez déroutante pour les consommateurs parce qu'elle va à l'encontre du conseil que les banques martèlent depuis des années : ne communiquez jamais vos données de connexion, explique le spécialiste de la sécurité Frederik Mennes. Confusion et ambiguïtés ne favorisent jamais la sécurité. Elles accroissent le risque de tentatives de phishing ( attaques ayant pour but de dérober le mot de passe ou le code pin d'utilisateurs, Ndlr) et de fraude au paiement. "

De plus, les sociétés auxquelles le consommateur donne son identifiant et ses codes d'accès sont souvent de petites start-up qui font office d'intermédiaires pour des banques et autres entreprises technologiques. Et un grand nombre d'entre elles travaillent avec une licence d'un pays européen plus laxiste (Malte, Chypre, Grèce, Lituanie, etc.). Selon Geert Van Mol, cela constitue un risque de sécurité non négligeable pour le client. " Ces entreprises enregistrent leurs données, mais n'ont pas toujours les moyens nécessaires pour investir suffisamment dans la cybersécurité, pointe-t-il. Elles présentent ainsi un plus grand risque de piratage, ce qui pourra donner lieu à une utilisation frauduleuse des données du client. "

DAVY KESTENS (SPENCER) " Le client choisira lui-même de partager ou non ses données avec une tierce partie. " © Debby Termonia

- Quelle est l'attitude adoptée par les banques ?

Kristof Mettepenningen, chef de projet PSD2 à la banque anversoise Argenta, est d'accord avec les remarques formulées par Belfius. " Si le client communique trop facilement ses données bancaires, il y a danger, estime-t-il. Nous ne savons pas si toutes les entreprises tierces sont de bonne foi ou si elles courent un risque de fuite de données. Une procédure de certification est prévue, mais pour l'instant, ce système n'est pas encore au point. Cela signifie qu'en cas de problème, personne ne peut actuellement être tenu pour responsable. " Belfius a dès lors l'intention de ne donner accès aux données des clients qu'à des parties qui travaillent avec des API. " Nous allons publier sur notre site la liste des institutions avec lesquelles Belfius peut établir des liens sécurisés, explique Geert Van Mol. Pour l'instant, nous ne partageons des données de clients qu'avec KBC et vice versa, parce que nous sommes les seules institutions belges à travailler dans un environnement API sécurisé."

" Nous conseillons de toute manière à nos clients de rester sur leur garde et de ne jamais donner leur code d'accès à n'importe qui, insiste Inge Ampe, chief commercial officer d'Argenta. Le risque existe que le client ne sache pas ce qu'il communique à qui. "

- Existe-t-il également des risques en matière de protection de la vie privée ?

" Avec le screenscraping ou le reverseengineering, une tierce partie aura accès à l'ensemble des données e-banking d'un client, prévient Geert Van Mol. Pas seulement aux données des comptes à vue, mais aussi à celles des comptes d'épargne et des comptes-titres. C'est totalement contraire aux prescriptions en matière de protection de la vie privée. La directive PSD2 n'est destinée qu'à partager les données de paiement. Je ne sais pas si les clients souhaitent également communiquer tous les détails de leur épargne et de leurs investissements. "

La BNB a déjà attribué huit licences à des prestataires de nouveaux services d'initiation de paiement et/ou d'informations sur les comptes.

Selon l'Autorité belge de protection des données (APD), anciennement Commission vie privée, ces craintes sont excessives. Elle renvoie à une communication de l'organe de contrôle européen selon laquelle PSD2 ne constitue pas une infraction aux règles du RGPD sur la protection des données et de la vie privée qui sont en vigueur depuis un an. Le RGPD impose une communication transparente des données qui sont recueillies, de la manière dont elles sont traitées et des fins auxquelles elles sont utilisées. Il prévoit également des conditions en matière de protection des données. Si ces règles sont suivies, l'APD ne voit guère de problèmes dans PSD2.

- Que pensent les entreprises technologiques de l'attitude des banques ?

Les banques ne traînent-elles pas des pieds uniquement parce qu'elles n'ont aucun intérêt à partager les données de paiement de leurs clients avec des tiers ? C'est une remarque souvent entendue chez les entreprises fintechs qui accusent les banques de manoeuvres dilatoires. " C'est leur stratégie d'autodéfense, nous déclare-t-on. Les banques essayent de mettre en avant leur statut d'institutions financières fiables et sûres pour dissuader les consommateurs de se tourner vers de nouveaux fournisseurs de services financiers. Alors que ceux-ci ne peuvent obtenir une licence des organes de contrôle que s'ils satisfont à de très nombreuses exigences. Et la cybersécurité en constitue un élément important. "

Spencer est par exemple sous la surveillance de la Banque nationale de Belgique et doit satisfaire aux exigences d'un institut de paiement, souligne son cofondateur Pieter Schelfhout. " Nous avons mis sur pied une politique de sécurité des plus strictes, qui a été approuvée par la Banque nationale. Pour l'instant, on ne sait pas si toutes les banques proposeront des API pour le 14 septembre, ni quelle en sera la qualité. Pour nous, une API est la meilleure porte d'accès, car la plus sûre. Mais si des API ne sont pas satisfaisantes, nous utiliserons le screen scraping. PSD2 oblige les banques à construire une passerelle et toutes ne le font pas de gaieté de coeur. Il faut donc voir si leurs passerelles sont suffisamment stables. "

" L'obligation de communiquer leur mot de passe est assez déroutante pour les consommateurs. " Frederik Mennes (OneSpan) © PG

- Qelle est l'attitude de l'autorité de surveillance financière ?

Si les techniques alternatives ne sont pas aussi sûres qu'une API, l'autorité de surveillance ne devrait-elle pas intervenir ? " Pour notre part, nous devons veiller au respect de la législation, réagit Reinout Temmerman, payments advisor auprès de la BNB. Le cadre légal prévoit un mécanisme de secours parallèlement aux API au cas où ces dernières présenteraient des lacunes. Celui-ci consiste à autoriser des tierces parties à utiliser l'interface du client pour avoir accès à ses données de paiement. De plus, cela n'est possible qu'après identification de la partie tierce, et une certification de ce mécanisme est prévue. " " Nous partageons les préoccupations des banques concernant la sécurité de l'accès aux comptes des clients, mais nous ne pouvons pas imposer de mesures supplémentaires en matière d'accès aux comptes, poursuit Reinout Temmerman. Désormais, les clients pourront partager leurs mots de passe avec des tierces parties. Nous contrôlerons si celles-ci sont de bonne foi, disposent d'un capital suffisant, respectent les règles de lutte contre le blanchiment et sont en mesure de résister à des cyberattaques. Si ce n'est pas le cas, elles ne recevront pas d'agrément. "

Au département Surveillance bancaire de la BNB, Frederic Romont rappelle que les banques qui ne veulent travailler qu'avec des API en ont parfaitement le droit. " Les banques peuvent nous demander de vérifier leur API afin d'établir s'il est suffisamment robuste et fonctionnel et s'il satisfait aux exigences de la directive PSD2, dit-il. Si c'est le cas, elles peuvent demander une dispense qui leur permettra de ne pas autoriser de mécanisme de secours via des techniques alternatives. Celles qui ne demanderont pas cette dispense devront toujours autoriser un mécanisme de secours. " La Banque nationale de Belgique est l'organe de surveillance local en charge du contrôle des normes techniques élaborées par l'Autorité bancaire européenne (ABE) et de l'octroi des licences aux tierces parties. En Belgique, elle a déjà attribué huit licences à des prestataires de nouveaux services d'initiation de paiement et/ou d'informations sur les comptes. Il s'agit de Let's Didid (groupe BNP), Accountable, BammBamm (Spencer), Isabel, Paynext, Worldline, Ibanfirst et Digiteal.

INGE AMPE (ARGENTA) " Le risque existe que les clients ne sachent pas ce qu'ils communiquent à qui. " © PG

- Qui sont les grands vainqueurs ?

L'idée première de la directive PSD2 était d'ouvrir le marché bancaire européen à la concurrence, de préférence de petits acteurs fintechs qui vont concurrencer les banques et les obliger à innover, réduire leurs tarifs ou améliorer la qualité de leurs services. " Mais la directive sur les paiements profitera surtout aux grands groupes technologiques, affirme Inge Ampe. Eux ont les moyens de développer plusieurs API qui leur permettront d'avoir accès aux systèmes de toutes les banques. "

L'intérêt que montrent Google, Facebook, Amazon et Alibaba envers les données de paiement des consommateurs n'a par exemple rien d'étonnant. " Ces entreprises disposent déjà d'une montagne de données personnelles. Dès qu'elles pourront également accéder à l'historique des comptes à vue, elles sauront tout du comportement d'achat et des dépenses du consommateur en question. Et si du screen scraping leur permet également de mettre la main sur d'autres informations comme l'épargne et les investissements, la boucle sera presque bouclée ", conclut Inge Ampe.

Dans la pratique, les données financières des consommateurs risquent ainsi de tomber entre les mains d'entreprises technologiques qui sont déjà trop puissantes, constatent des chercheurs néerlandais qui viennent de publier une tribune dans le quotidien NRC Handelsblad. " Les géants de la technologie auront la possibilité d'ajouter les données financières des consommateurs à leurs profils d'utilisateurs. Avec leurs ressources financières et leur savoir-faire en matière de déploiement d'infrastructures numériques à grande échelle, ils seront à même d'acquérir une part de marché considérable dans le secteur financier en quelques mois. Le contenu des 'silos de données' des banques risque d'être transféré dans les immenses granges déjà pleines à ras bord de big data ", préviennent-ils.

On évoque depuis des années la possibilité de voir des géants de l'industrie technologique comme Google et Facebook étendre leurs activités au secteur bancaire. Peter Van Hees, cofondateur de Spencer, voit les choses autrement : " Pour les géants de la tech, ce sont les données qui importent. Il est vrai qu'avec leurs propres données, ils pourront établir de meilleurs scores de crédit de leurs clients que les banques aujourd'hui. Mais ils utiliseront ces scores de crédit comme un paramètre supplémentaire pour permettre aux institutions financières d'atteindre un groupe cible donné. Facebook pourrait par exemple ne montrer une publicité qu'à des utilisateurs qui ont un bon score de crédit. Ces données complémentaires renforceront le modèle économique des géants de la tech, mais ne le modifieront pas. Ils préfèrent laisser le risque de crédit à quelqu'un d'autre, et ils n'ont absolument aucune intention de se soumettre aux nombreuses obligations et règles qui sont imposées à un établissement financier. "