0

Agrégateurs de comptes bancaires et Web Scraping, la prudence s’impose.

0
Publié le Vendredi 2 février 2018 ( mis à jour le Jeudi 7 juin 2018 )

Les agrégateurs de comptes bancaires comme Linxo ou Bankin offrent la possibilité de rassembler différents comptes détenus dans plusieurs banques, au sein d’une seule et même application, présentant ainsi à leurs utilisateurs une vision centralisée de leurs données financières. Cela est rendu possible grâce à la technique du Web Scraping qui consiste à extraire le contenu d’un site web pour l’exploiter sous une autre forme. 
Mais pour utiliser un agrégateur, le client doit fournir ses identifiants et mots de passe de connexion banque à distance. Cela pose question quant à la confidentialité, le stockage et la sécurité de ses données bancaires.

Agrégateurs comptes webscraping

Le Web Scraping, qu’est-ce que c’est ? 

Faire du neuf avec du vieux, c’est en quelque sorte l’ADN du Web Scraping. 
Cet ensemble de techniques permet d’extraire automatiquement le contenu d’un ou de plusieurs sites Web dans le but de l’exploiter à des fins commerciales... mais pas seulement :

C’est surtout dans le domaine bancaire que le Web Scraping fait le plus parler de lui. Bankin, Linxo ou Fiduceo, ces agrégateurs de comptes bancaires donnent une vision globale de tous les comptes bancaires de leurs clients et les assistent dans la gestion de leur budget. Une solution qui séduit tant les clients multi-bancarisés que ceux disposant d’un seul compte, mais qui préfèrent le consulter via une application mobile, ergonomique et proposant des services innovants tels que la planification d’objectifs ou les conseils automatisés pour gérer le budget familial.

Flou juridique autour du Web Scraping

Revers de la médaille, les agrégateurs et initiateurs de paiement vont piocher les données directement dans le système d’information de votre banque, ce qui n’est pas sans poser question quant à la sécurité et à l’utilisation qui sera faite des données exportées, récoltées depuis votre espace client. Surtout que pour permettre à l’applicatif d’aller chercher ces données, vous devez communiquer préalablement vos identifiants et mots de passe personnels. L’application en question a donc accès à toutes les données de votre service client sur cmne.fr ou d’autres espaces bancaires en ligne (comptes, messagerie sécurisée…)

Alors, est-ce vraiment légal ? Un certain flou juridique entoure aujourd’hui le Web Scraping. 
Dans une tribune , Pascal Agosti, avocat spécialiste en droit des Nouvelles Technologies, de l'Informatique et de la Communication, reconnaît que la pratique du Web Scraping pourrait être considérée comme du
« vol de données » ou constituer « un acte de concurrence déloyale » voire un « acte de parasitisme »

Dans ce contexte et pour répondre à de nouveaux enjeux de sécurité mais aussi économiques, une nouvelle Directive européenne sur les Services de Paiements (DSP2) a vu le jour le 13 janvier 2018.

Web Scraping et Open Banking

Cette nouvelle règlementation impose aux banques d’ouvrir l’accès à leurs données clients aux PSP (initiateurs de services de paiement en anglais, comme PayPal par exemple), aux agrégateurs ou encore aux Fintechs. Ces nouveaux acteurs sur le marché de la finance numérique peuvent également être des autres banques ou des assureurs.

Le but est de permettre l’ouverture du marché à de nouveaux acteurs en leur donnant accès aux informations sur les comptes des clients par un canal de communication sécurisé : C’est l’Open Banking. Il s’agit «d’encourager le développement de systèmes de paiement en ligne et mobiles innovants, ce qui stimulera l'économie et la croissance. » selon Valdis Dombrovskis, vice-président de la Commission chargé de la stabilité financière, des services financiers et de l'union des marchés des capitaux.

En réponse aux alertes des acteurs bancaires, la Commission Européenne a réagi en contraignant les agrégateurs de compte à passer par une interface de programmation interopérable (API) contrôlée par la banque si cette dernière l’exige. Autrement dit « les banques teneuses de comptes doivent mettre à disposition des agrégateurs et initiateurs de paiement une interface standardisée et sécurisée qui doit se substituer aux techniques actuelles de Web Scraping, basées sur l’utilisation par les agrégateurs et initiateurs de paiement des identifiants et des mots de passe des clients. »

Mais, si les startups jugent que cette plateforme, mise en place par la banque traditionnelle, n’est pas viable, elles pourront revenir au Web Scraping. 

Face au bras de fer entre la Commission Européenne, l'Autorité Bancaire Européenne (ABE), les banques et les startups de la Fintech, un délai d'adaptation de 18 mois après la publication au JO de l'UE des normes techniques est prévu, ce qui devrait reporter leur application à septembre 2019.

Comme en témoigne Marie-Anne BARBAT-LAYANI, DG de la FBF dans un communiqué de presse du 28 novembre 2017, « l’actualité des derniers mois vient nous rappeler que le nombre de cyberattaques, toujours plus puissantes, se multiplie. Les API offrent une réponse sécurisée et leur reconnaissance par la Commission européenne est une bonne nouvelle pour tous. Les banques françaises déploieront cette solution courant 2018. »

Enfin, gardons bien en tête que l’objectif premier de telles mesures est de renforcer le niveau de sécurité des paiements et la protection des clients. Ainsi, la DSP2 «interdit aux PSP (Payment Service Provider) d'accéder à toute autre donnée du compte de paiement du client que celles pour lesquelles le client a donné son autorisation explicite. Les clients devront consentir à l'accès, à l'utilisation et au traitement de leurs données.»

 

 

Sources :
Memo 8 FBF La DSP2 et les enjeux de sécurité ; https://www.latribune.fr/entreprises-finance/banques-finance/paiement-la-directive-dsp2-entre-en-vigueur-c-est-quoi-764449.html
https://www.usine-digitale.fr/article/le-web-scraping-et-le-droit-qu-est-ce-qui-est-vraiment-legal.N594768
* Global Security Mag - octobre 2017- Baromètre RGPD