Compte bancaire : les géants du web choisissent les banques

Dans la controverse opposant les banques aux fintechs dans le cadre de la nouvelle directive sur les services de paiement (DSP2), un consortium international regroupant l’essentiel des géants mondiaux de l’économie numérique prend parti pour les premières.

Google, Alibaba, Intel, Microsoft, mais aussi PayPal, MasterCard ou ING : ce sont quelques unes des têtes d’affiches de la « FIDO Alliance », un consortium industriel lancé en février 2013 avec l’objectif de faire progresser l’identification renforcée des usagers au sein des services numériques. Au total, la FIDO (pour Fast Identity Online) Alliance regroupe plus de 250 sociétés, géants du web, e-commerçants, réseaux de paiement et grandes banques notamment.

Son directeur exécutif, Brett McDowell, s’est récemment fendu d’une prise de position dans le débat opposant les banques et l’Autorité bancaire européenne (EBA) d’un côté, la Commission européenne et les fintechs de l’autre, à propos des conditions techniques de mise en œuvre de la directive révisée sur les services de paiements (DSP2). Il annonce aussi avoir écrit à la Commission européenne sur le sujet.

Web scraping contre API

Au cœur de la controverse opposant banques et nouveaux acteurs, une technique informatique de capture de données d’écran baptisée screen scraping. Actuellement, les agrégateurs de compte - ou « services d’information sur les comptes » dans la nouvelle nomenclature européenne -, notamment, utilisent cette technique pour accéder, avec l’accord des usagers mais à l’insu des banques concernées, aux données des comptes bancaires.

L’EBA, chargée de plancher sur la mise en œuvre technique de la DSP2, a proposé d’interdire cette technique, jugée peu sûre, au profit d’interfaces de programmation d’application (API). Les fintechs, de leur côté, souhaitent conserver l’alternative du screen scraping dans le cas où les API proposées par les banques ne leur donnent pas satisfaction. Signataires d’un manifeste, elles ont réussi à convaincre la Commission européenne, qui craint justement que les banques limitent la portée de la DSP2 en verrouillant leurs API.

L’API plus sûre et plus discrète

Qu’en pense le porte-parole de la FIDO Alliance ? Sans surprise, il penche clairement du côté des banques. « Nous ne voyons pas comment l’approche du screen scraping exigée par la Commission Européenne pourrait être appliquée dans le respect des règles de sécurité imposées par la DSP2 », écrit-il dans son commentaire. Le texte européen généralise en effet l’usage d’une authentification forte de l’usager pour les paiements à distance.

Lire sur le sujet : Paiements en ligne : pourquoi le mobile devient incontournable

Contrairement au screen scraping, les API, détaille la communication de la FIDO Alliance, ont justement l’avantage d’être autorisées « par une authentification forte du client, c’est-à-dire avec des identifiants chiffrés avec une clé publique, garantissant ainsi un niveau de protection très élevé, et non via le recours aux mots de passe, intrinsèquement vulnérables ». Elles présentent aussi, toujours selon la FIDO Alliance, des avantages en termes de confidentialité, permettant « aux consommateurs d’accorder l’accès à leurs comptes bancaires à un niveau granulaire, en choisissant de partager certaines informations et d’autres non », conclut Brett McDowell.

Cette prise de position suffira-t-elle à infléchir la position de la Commission européenne ? Réponse dans les prochaines semaines.