Auteurs : Florence Chen et Bruno Joanides
Date : Décembre 2016
Le Parlement Européen suggère à l’ABE d’assouplir ses exigences liées à l’authentification forte et l’échange de données entre les acteurs du paiement
La nouvelle version de la Directive Services de Paiement dite DSP2, prévoit que les agrégateurs de comptes bancaires et les initiateurs de paiement (les PSP tiers) devront se soumettre à la règlementation bancaire. Cette nouvelle règlementation a pour conséquence d’organiser les relations et modes de communication entre ces PSP tiers et les banques auxquelles ils se connectent pour fournir leurs services. Ces dernières espéraient que la DSP2 mettrait fin à la pratique du web scrapping[1] à laquelle recours pour le moment les PSP tiers pour accéder aux données des clients.
C’est d’ailleurs dans ce sens que l’ABE (Autorité Bancaire Européenne) a rédigé un projet de normes techniques de règlementation (RTS)[2]visant également à encadrer plus étroitement les paiements et les accès aux banques en ligne par de l’authentification forte[3].
L’ABE a ainsi publié le 12 août 2016 un projet de RTS relatif à l’authentification forte et aux normes communes sécurisées de communication dans lequel il est évoqué la possibilité de mettre en place une interface dédiée à la communication inter-PSP. Les banques ont exprimé leur préférence pour cette hypothèse tandis que les PSP tiers se sont inquiétés dans ce cas de figure, du maintien de la gratuité de l’accès aux comptes et du niveau de service offert.
L’ABE, dont l’un des objectifs est de garantir la neutralité des technologies utilisées, a estimé qu’elle ne devait pas imposer de standard de communication. Elle a décidé de laisser les banques libres de définir les solutions de communication utilisées en ouvrant la possibilité de recourir aux interfaces dédiées, sous les conditions suivantes :
- Chaque établissement bancaire doit mettre à disposition au moins une interface sécurisée de communication dont la documentation sera gratuitement disponible sur son site internet ;
- Chaque établissement bancaire devra permettre aux PSP tiers d’utiliser ses procédures d’authentification forte, sauf stipulations contractuelles contraires ;
- Chaque établissement bancaire devra s’assurer que l’interface de communication sécurisée respecte les standards internationaux ou européens tels que la norme ISO 20022 ;
- Chaque établissement bancaire devra garantir un niveau de service équivalent entre les interfaces de communication avec les PSP tiers et les interfaces de communication avec les utilisateurs de services de paiement ;
- Tous les PSP devront garantir la sécurité des communications.
En l’absence de solution précise, il subsiste un risque de déséquilibre entre les acteurs. En effet, les PSP tiers sont pour la plupart prêts à utiliser ces interfaces dédiées bien qu’elles soient entièrement sous le contrôle des banques, mais à condition que des garanties soient apportées quant au niveau de service offert et aux données accessibles. Le recours à une interface dédiée doit permettre aux PSPS tiers de fournir les services d’agrégation et d’initiation de manière équivalente à ce qu’ils pratiquent actuellement par le biais du web scrapping. Or la version actuelle des RTS ne semble pas apporter des garanties suffisantes.
En réaction à la publication du projet de RTS, la commission des affaires économiques et monétaires du Parlement Européen a écrit[4] à l’ABE pour lui faire part de sa position. Elle rappelle également le cadre du mandat donné à l’ABE par la DSP2, en indiquant qu’il n’est pas, à la lecture des travaux, respecté selon elle.
Dans cette lettre, la commission des affaires économiques et monétaires exprime ses préoccupations face à la possibilité offerte aux banques d’imposer le recours aux interfaces dédiées pour transmettre les données des clients aux PSP tiers. Elle apporte son soutien à un accès direct[5] des PSP tiers aux comptes des clients et considère que l’ABE ne doit pas promouvoir de modèle économique particulier, qu’il soit fondé sur un accès direct ou indirect aux comptes.
Selon la commission des affaires économiques et monétaires, la proposition de l’ABE visant à permettre à chaque banque de mettre en place une interface dédiée induit, dans le cas où le recours à ces interfaces serait obligatoire, un risque de laisser aux banques le pouvoir d’exclure ou de limiter l’accès direct aux comptes des clients, ce qui serait contraire à l’esprit de la DSP2 dont l’un des objectifs est d’assurer l’ouverture du marché du paiement en améliorant les conditions de la concurrence entre les PSP, qu’ils soient banques ou PSP tiers.
De plus, la DSP2 dispose expressément que les banques ne doivent pas discriminer, sauf raisons objectives, les opérations réalisées par l’intermédiaire d’un PSP tiers par rapport aux opérations réalisées directement par le client[6]. En soutenant la mise à disposition d’un accès direct et continu des PSP tiers à l’interface proposée aux utilisateurs de services de paiement, la commission des affaires économiques et monétaires opte pour une solution qui garantirait l’égalité de traitement de toutes les opérations.
Ces propos sont à mettre en perspective avec les considérants 32 et 93 de la DSP2 qui prévoient d’une part, qu’une banque qui fournit un mécanisme d’accès indirect aux comptes devrait aussi autoriser un accès direct pour les initiateurs de paiement[7], et d’autre part, que les RTS doivent être compatibles avec les différentes solutions techniques disponibles[8]. La seule solution technique actuellement disponible est le web scrapping, par conséquent, les RTS devraient permettre l’usage de cette technique, or la version actuelle du texte ne le prévoit pas expressément.
En proposant aux PSP tiers un accès direct aux données des clients, comme ils le pratiquent actuellement, la position de la commission des affaires économiques et monétaires permettrait de pérenniser la pratique et donc la continuité des services offerts par les PSP tiers, tout en leur garantissant un niveau de service égal à celui offert aux clients ainsi qu’un accès aux données identique. Cette proposition, si elle est retenue, officialiserait le recours au web scrapping sur lequel plus aucun soupçon d’illégalité ne pourrait planer. Toutefois, la pratique devra être adaptée afin de permettre l’identification des PSP tiers comme l’exige la DSP2[9] afin de sécuriser les échanges.
Le maintien du web scrapping permettrait aux PSP tiers de conserver leur mode de fonctionnement actuel y compris pour les PSP tiers qui ont stratégiquement décidé de proposer leur savoir-faire technique et leurs connecteurs aux banques (fondés sur la web-scrapping) à des entreprises tierces qui proposent elles-mêmes des services à valeurs ajoutée en utilisant les données agrégées.
Pourtant, il ne faut pas nier le fait que le recours aux interfaces dédiées permettrait à de nouveaux acteurs de pénétrer plus facilement les marchés de l’agrégation ou de l’initiation car toutes les interfaces pourraient être construites sur un socle commun, c’est d’ailleurs l’hypothèse souhaitée par l’ABE et la raison de sa proposition. Il serait alors moins coûteux pour de nouveaux acteurs de développer les connexions aux interfaces dédiées plutôt que de développer un à un chacun des connecteurs de collecte de données disponibles sur les interfaces de banque en ligne.
Outre les points relevés quant à l’interface dédiée obligatoire ou non, la commission des affaires économiques et monétaires a également manifesté ses préoccupations à l’égard de certaines dispositions des RTS relatives à l’authentification forte.
L’ABE a proposé une liste de dérogations possibles dont le champ est assez restrictif pour sécuriser les opérations. Elle a cependant écarté la possibilité de déroger à l’authentification forte sur la base d’une analyse de risque de la banque comme le prévoit pourtant la DSP2. L’ABE n’a pas pu identifier de règle sur laquelle fonder une telle analyse de risque tout en assurant des conditions de concurrence équitable et une protection suffisante des clients. De plus, le caractère limitatif ou contraignant de cette liste de dérogations n’est pas clairement indiqué par l’ABE.
La commission des affaires économiques et monétaires estime que ces dispositions manquent de précision et que l’ABE ne peut pas écarter une hypothèse prévue par la DSP2 sans contrevenir au mandat qui lui a été donné. En effet, l’ABE doit édicter les RTS en conformité avec les dispositions de la DSP2 qui la mandate et ne peut pas proposer de règles allant à son encontre.
Par ailleurs, les seuils proposés de dérogation en matière de paiement à distance ou sans contact apparaissent difficiles à mettre en place car trop restrictifs en pratique, les seuils proposés ne permettraient de couvrir qu’un faible nombre de situations. Les paiements électroniques à distance ne sont en effet exemptés de la procédure d’authentification forte que dans la limite de montants n’excédant pas 10€ par opération ou 100€ par opérations cumulées, tandis que les paiements sans contact sont exemptés dans la limite de 50€ par opération et 150€ cumulés.
De plus, la commission des affaires économiques et monétaires soulève que l’ABE ne précise pas quelles sont les opérations de paiements électroniques à distance à comptabiliser pour calculer le seuil cumulé alors qu’il existe différents types de paiements électroniques à distance, certains sont exécutés en ligne, d’autres hors ligne.
La commission encourage donc l’ABE à modifier ses RTS en tenant compte de ces opinions pour se conformer au mandat donné par la DSP2 et à la réalité du marché des paiements.
Une rencontre entre la commission des affaires économiques et monétaires et l’ABE devrait permettre de trouver un terrain d’entente.
L’ABE devra quant à elle publier en janvier 2017 une version définitive des RTS, tenant compte des opinions de la commission des affaires économiques et monétaires du Parlement européen car les RTS devront in fine être approuvées par la Commission européenne et ne faire l’objet d’aucune objection de la part du Parlement européen ni du Conseil.
[1] Le web scrapping (ou screen scraping) est la technique utilisée par les PSP tiers qui consiste à se connecter sur le site de la banque à distance du client grâce aux identifiants de ce dernier et à récupérer les données bancaires disponibles sur le site
[2] Par l’article 98 de la DSP2, le Parlement Européen a mandaté l’ABE pour édicter des RTS relatifs à l’authentification forte et la communication entre les différents PSP comme l’y autorise l’article 10 du règlement N°1093/2010 instituant l’ABE. Ces RTS devront être soumis pour approbation à la Commission Européenne avant le 13 janvier 2017.
[3] Authentification reposant sur la combinaison d’au moins deux éléments appartenant aux catégories « connaissance » (quelque chose que seul l’utilisateur connaît), « possession » (quelque chose que seul l’utilisateur possède) et « inhérence » (quelque chose que l’utilisateur est). Ces éléments doivent être indépendants afin d’assurer qu’en cas de compromission de l’un des éléments, la fiabilité des autres ne soit pas remise en cause.
[4] Par courrier en date du 24 octobre 2016
[5] Accès direct : un accès qui s’établit par le biais des interfaces que le client utilise pour consulter ses comptes
[6] Articles 66(4c) et 67(3b) de la DSP2
[7] Considérant 32 de la DSP2
[8] Considérant 93 de la DSP2
[9] L’identification des initiateurs pour chaque opération est exigée par l’article 66(3d) de la DSP2, la même obligation pèse sur les agrégateurs au titre de l’article 67(2c) de la DSP2.