Tandis que quelques banques prennent conscience, sans la moindre incitation réglementaire, de l'impératif d'ouverture auquel elles doivent faire face au XXIème siècle, la Fédération Bancaire Française, par la voix de sa directrice générale, s'enfonce dans une réthorique de plus en plus absurde pour justifier l'immobilisme tragique de ses membres…
Une fois encore, les coïncidences de l'actualité nous offrent une matière extraordinaire pour réfléchir sur le sujet brûlant de la banque ouverte. Ainsi, à quelques heures d'intervalle, DBS mettait en ligne son portail d'API géant et Marie-Anne Barbat-Layani, au nom de la FBF, tentait de nous convaincre dans un message LinkedIn [archive] des dangers inhérents à la prochaine entrée en vigueur de la deuxième directive des services de paiement (DSP2), à travers un parallèle ahurissant avec le film Carbone…
En effet, selon Madame Barbat-Layani, la légèreté du régulateur, qui conduirait à une mise en œuvre du texte 18 mois avant que soient définies les conditions de sécurité applicables, est de nature à ouvrir une faille aussi dramatique de conséquences que la fameuse arnaque à la TVA sur les quotas de carbone dépeinte par le film d'Olivier Marchal. Le raisonnement est tellement inapproprié et trompeur qu'il me semble nécessaire de procéder à une mise au point et de rappeler l'enjeu pour les banques.
Le contentieux porte toujours sur les mêmes dispositions de la directive, à savoir celles imposant aux institutions financières de mettre à disposition de tiers, dûment agréés et sur demande explicite de leurs clients, les données qu'ils détiennent sur les comptes de ces derniers. Or les détails d'implémentation de cette exigence, qui doivent être définis par les banques européennes, ont pris un retard important qui laisse effectivement entrevoir qu'ils ne pourront entrer en application que bien après l'échéance initiale.
Cependant, même en considérant que cet accroc de calendrier introduit un réel problème de sécurité, doit-on rappeler à la FBF que la responsabilité en incombe exclusivement à ses membres et aux autres banques de l'Union Européenne ? Ce sont bien elles qui, sous la bannière de l'EBA (l'association qui les représente), ne sont pas parvenues à rédiger une proposition équilibrée, satisfaisant le mandat qui leur a été donné il y a maintenant 2 ans (l'adoption définitive de la DSP2 datant du 25 novembre 2015).
Sur le fond, ensuite, il convient de rappeler aux banques qui l'auraient oublié que les données des comptes ne leur appartiennent pas. Et, en contrepartie d'une relation commerciale facturée, elles ont l'obligation non seulement de les conserver en sécurité mais également, comme le rappellent la DSP2 et le RGPD (« Réglement Général pour la Protection des Données »), de permettre à leurs propriétaires légitimes (les clients) d'en disposer à leur guise, avec toutes les garanties qu'ils sont en droit d'espérer.
Dans ce registre, justement, si elles mettaient toutes la même ardeur que DBS ou BBVA à déployer des API complètes, il n'y aurait aucun débat : tous les acteurs concernés préfèreraient cette approche à la technique artisanale du « screen scraping », qui est leur seule option aujourd'hui. Malheureusement, il est permis de douter que cette hypothèse devienne réalité et les utilisateurs actuels de données bancaires ne peuvent envisager une transition forcée sans assurance qu'ils disposeront du même niveau de service.
À deux mois de l'entrée en vigueur de la directive, aucun établissement français (ou presque) n'a présenté ses plans pour l'ouverture de l'accès aux comptes de ses clients. Comment, dans ces circonstances, croire aux promesses de la FBF ? Comment ne pas imaginer plutôt que son objectif principal est de retarder autant que possible l'échéance, de manière à laisser le temps aux banques de préparer leurs défenses (dans l'exploitation des données, notamment), voire de tuer toute concurrence potentielle ?
En synthèse, il est édifiant d'entendre les institutions financières se plaindre d'une situation qu'elles ont directement contribué à créer, de comprendre qu'elles ne sont probablement pas prêtes à répondre aux nouvelles exigences réglementaires (et je crains que ce ne soit dû à une incapacité structurelle) et, pire encore, de découvrir qu'elles ne prennent toujours pas la mesure de l'inévitabilité de l'ouverture de leurs services et de leurs données dans un monde où tout est interaction et intégration « digitales ».
Une fois encore, les coïncidences de l'actualité nous offrent une matière extraordinaire pour réfléchir sur le sujet brûlant de la banque ouverte. Ainsi, à quelques heures d'intervalle, DBS mettait en ligne son portail d'API géant et Marie-Anne Barbat-Layani, au nom de la FBF, tentait de nous convaincre dans un message LinkedIn [archive] des dangers inhérents à la prochaine entrée en vigueur de la deuxième directive des services de paiement (DSP2), à travers un parallèle ahurissant avec le film Carbone…
En effet, selon Madame Barbat-Layani, la légèreté du régulateur, qui conduirait à une mise en œuvre du texte 18 mois avant que soient définies les conditions de sécurité applicables, est de nature à ouvrir une faille aussi dramatique de conséquences que la fameuse arnaque à la TVA sur les quotas de carbone dépeinte par le film d'Olivier Marchal. Le raisonnement est tellement inapproprié et trompeur qu'il me semble nécessaire de procéder à une mise au point et de rappeler l'enjeu pour les banques.
Le contentieux porte toujours sur les mêmes dispositions de la directive, à savoir celles imposant aux institutions financières de mettre à disposition de tiers, dûment agréés et sur demande explicite de leurs clients, les données qu'ils détiennent sur les comptes de ces derniers. Or les détails d'implémentation de cette exigence, qui doivent être définis par les banques européennes, ont pris un retard important qui laisse effectivement entrevoir qu'ils ne pourront entrer en application que bien après l'échéance initiale.
Cependant, même en considérant que cet accroc de calendrier introduit un réel problème de sécurité, doit-on rappeler à la FBF que la responsabilité en incombe exclusivement à ses membres et aux autres banques de l'Union Européenne ? Ce sont bien elles qui, sous la bannière de l'EBA (l'association qui les représente), ne sont pas parvenues à rédiger une proposition équilibrée, satisfaisant le mandat qui leur a été donné il y a maintenant 2 ans (l'adoption définitive de la DSP2 datant du 25 novembre 2015).
Sur le fond, ensuite, il convient de rappeler aux banques qui l'auraient oublié que les données des comptes ne leur appartiennent pas. Et, en contrepartie d'une relation commerciale facturée, elles ont l'obligation non seulement de les conserver en sécurité mais également, comme le rappellent la DSP2 et le RGPD (« Réglement Général pour la Protection des Données »), de permettre à leurs propriétaires légitimes (les clients) d'en disposer à leur guise, avec toutes les garanties qu'ils sont en droit d'espérer.
Dans ce registre, justement, si elles mettaient toutes la même ardeur que DBS ou BBVA à déployer des API complètes, il n'y aurait aucun débat : tous les acteurs concernés préfèreraient cette approche à la technique artisanale du « screen scraping », qui est leur seule option aujourd'hui. Malheureusement, il est permis de douter que cette hypothèse devienne réalité et les utilisateurs actuels de données bancaires ne peuvent envisager une transition forcée sans assurance qu'ils disposeront du même niveau de service.
À deux mois de l'entrée en vigueur de la directive, aucun établissement français (ou presque) n'a présenté ses plans pour l'ouverture de l'accès aux comptes de ses clients. Comment, dans ces circonstances, croire aux promesses de la FBF ? Comment ne pas imaginer plutôt que son objectif principal est de retarder autant que possible l'échéance, de manière à laisser le temps aux banques de préparer leurs défenses (dans l'exploitation des données, notamment), voire de tuer toute concurrence potentielle ?
En synthèse, il est édifiant d'entendre les institutions financières se plaindre d'une situation qu'elles ont directement contribué à créer, de comprendre qu'elles ne sont probablement pas prêtes à répondre aux nouvelles exigences réglementaires (et je crains que ce ne soit dû à une incapacité structurelle) et, pire encore, de découvrir qu'elles ne prennent toujours pas la mesure de l'inévitabilité de l'ouverture de leurs services et de leurs données dans un monde où tout est interaction et intégration « digitales ».
Ce n'est vraiment pas mon idée ! Cette façon de brocarder systématiquement la position des banques françaises et de railler son immobilisme. Car la FBF a justement demandé au CSM français STET de rédiger un jeu d'API permettant aux établissements d'exposer leurs systèmes d'information aux nouveaux acteurs, en limitant si possible le nombre des interfaces de communication à développer pour ces derniers et ainsi proposer une alternative au web-scrapping facile à implémenter, dès que les Regulatory Technical Standards (RTS) seront entrées en vigueur. Et c'est bien peut-être seulement là où il y a déni de réalité: c'est la FBF elle-même qui a demandé un délai de 18 mois avant l'entrée en vigueur de ces RTS, le temps pour les banques de se préparer, alors que l'on comprend bien que DSP2 et RTS sont conçus pour être mise en application au même moment. Encore fallait-il l'exiger !
RépondreSupprimerEmmanuel Noblanc