Néo-banques, plateformes de crowdfunding ou blockchain, les fintechs ont le vent en poupe. L’apparition de ces nouveaux modèles de services de paiement a bouleversé le monde de la finance. Ces pratiques numériques bancaires forment ce qu’on appelle « l’open-banking ». L’open-banking (ou service bancaire ouvert en français littéral) facilite le transfert de données bancaires des clients, des banques vers d’autres services de paiement (et surtout les fintechs). Depuis l’entrée en vigueur en janvier 2018 de la directive 2015/2366 du Parlement et du Conseil du 25 novembre 2015 (dite « DSP2 ») , l’open-banking est une pratique rendue obligatoire pour les établissements de crédit. Bien que le souhait de moderniser et faciliter les échanges au sein du secteur bancaire soit une priorité, la multiplication des acteurs financiers sur le marché perturbe sécurisation des données bancaires.
Modernisation de la relation entre les clients et les acteurs financiers
Avez-vous déjà remarqué le fait que, lorsque vous vous connectez sur le site Internet de votre banque, l’on vous demande une authentification à deux facteurs ?
Cette authentification forte est une nouveauté juridique apportée par la directive européenne du 25 novembre 2015 relative aux services de paiement (« DSP2 »). Cette directive avait pour but de reconnaître les nouveaux services de paiement et ainsi de moderniser les relations entre les clients et les acteurs financiers, qu’ils soient nouveaux (par exemple, Pumpkin, Lydia, Leetchi) ou préexistants (établissements de crédits classiques). La modernisation la plus majeure est le recours aux API (comprendre « interface de programmation applicative). Ces API vont permettre d’une part, de rendre disponible des fonctionnalités et les données bancaires des clients de manière sécurisée. D’autre part, elles vont jouer l’intermédiaire entre les établissements de crédits, les prestataires d’initiation de paiement (PSIP), les prestataires de services d’information sur les comptes (PSIC). À l’aide de l’authentification forte, l’API va pouvoir communiquer les informations bancaires, mais également les stocker et les analyser (c’est ce qu’on appelle le screen-scrapping). Autre modernisation majeure de la « DSP2 » : l’amélioration de la protection des données bancaires. Le client a ainsi le contrôle de ses données bancaires et est donc en droit de s’interroger sur leur bonne sécurisation.
Des risques quant à la sécurisation des données bancaires
Au regard du RGPD, les données bancaires sont considérées comme des données sensibles. En effet, elles permettent de connaître en détails la vie du client (numéro de carte bancaire, numéro de compte, achats de la vie quotidienne). La violation de telles données représenterait une atteinte grave à la vie privée. Ainsi, la finalité du traitement des données bancaires des clients en matière d’open-banking doit être strictement réglementée. Le Code monétaire et financier comprend des dispositions en ce sens, notamment à destination des prestataires d’initiation de paiement (PSIP) et des prestataires de services d’information sur les comptes (PSIC). Par exemple, le code indique dans son article L.521-5 que les prestataires de services de paiement ne peuvent avoir accès aux données personnelles (et bancaires) des clients si il ne donne pas son consentement exprès. Il en va de même pour le traitement et la conservation de ces données.
La sécurisation des données bancaires représente d’autant plus un risque lorsque les transferts bancaires sont internationaux. Que se passe-t-il si les données bancaires d’un client européen sont communiquées Outre-Manche par exemple ? Depuis la décision rendue par la Cour de Justice de l’Union européenne au sujet du Privacy Shield en juillet 2020, le transfert de données bancaires est susceptible d’être freiné, voire interdit. En effet, la Cour avait relevé qu’une protection juridique suffisante et proportionnelle de toutes les données des personnes qui seraient transférées dans un pays tiers (notamment les États-Unis) était impossible. Une manière de bloquer l’appétit des GAFAMI pour toutes les données et notamment celles bancaires ?
