Avez-vous déjà entendu parler de Linxo, de Bankin’ ou encore de Fiduceo ? Il s’agit d’agrégateurs de comptes bancaires. Comme le nom l’indique, ces applications agrègent les données de plusieurs comptes bancaires, fussent-elles dans des établissements différents. L’intérêt premier de ces agrégateurs de données est la consultation en un seul endroit de tous vos comptes. Fini les connexions régulières sur tous les portails web bancaires, aux designs différents, pour avoir un aperçu de votre situation financière. Dorénavant, en un coup d’œil, vous saurez tout.
Elles permettent également d’obtenir de jolis graphes. Ainsi, certains utilisateurs monobancarisés ont quand même téléchargé ces applications pour bénéficier des statistiques que leur propre banque ne propose pas.
Ces applications ne sont pas nouvelles en soit, puisqu’elles existent aux États-Unis depuis les années 2000 et sont arrivés en France vers 2011. De leur côté, les banques ont décidé de participer à cette aventure en développant leurs propres applications comme MoneyCenter de Boursorama ou alors en prenant des parts dans les solutions existantes. Ainsi, Boursorama a racheté Fiduceo en mars 2015 et Crédit Agricole et Crédit Mutuel Arkéa sont entrés au capital de Linxo en janvier 2016.
La connexion à vos comptes
Fonctionnellement, c’est très simple ! L’utilisateur télécharge l’application, sélectionne ses banques et entre son identifiant et mot de passe. Et, c’est là que le bât blesse ! D’un côté, vous faites très attention à bien protéger vos secrets, et d’un autre, il faut le donner à une application tierce. En les communiquant, vous faites donc une entorse aux conditions générales d’utilisation du portail de votre banque, qui pourrait éventuellement se retourner contre vous en cas de fraude.
Les banques pourraient bien sûr, si elles le souhaitaient, empêcher ces agrégateurs de se connecter sur ces comptes. Mais, elles ne semblent pas prêtes à assumer la mauvaise image que cela leur procurerait. Après tout, les données de vos comptes vous appartiennent aussi.
Un encadrement juridique au niveau européen
La directive 2015/2366 du 25 novembre 2015, plus connue sous le sigle DSP2 (directive sur les services de paiement) donne un cadre à ces usages, et précise, entre autres, que l’agrégation de données est un service de paiement. Les nouveaux acteurs devront donc obtenir un agrément pour pouvoir fournir ces services de paiement (établissement de paiement, établissement de monnaie électronique, agent prestataire de service de paiement, etc.) auprès d’un régulateur bancaire (l’Autorité de contrôle prudentiel et de résolution (ACPR) en France).
Note : l’Agence bancaire européenne (ABE) intervient également sur ce dossier afin d’établir des exigences en matière de sécurité et de prémunir, autant que faire ce peu, l’écosystème contre le risque de fraude.
En contrepartie, les banques auront pour obligation de ne pas entraver le fonctionnement des agrégateurs. Si cela ne change pas grand chose à la situation actuelle, cela a le mérite de couper court à certaines idées déloyales. De plus, aucune relation juridico-commerciale ne pourra être exigée par les banques. C’est dommage, cela aurait pu définir clairement les responsabilités de chacun sur les exigences sécuritaires. D’autant, qu’en cas de fuites de données, ce sera aux banques de réparer les dégâts.
Peut-on faire confiance à ces nouvelles solutions ?
Il faut l’avouer, l’agrégation de comptes bancaires est un service bien pratique. Pour autant, je ne me vois pas confier mes secrets à ces nouveaux acteurs. Même s’ils communiquent beaucoup sur la sécurité pour nous rassurer, cela n’est pas une preuve ! Et ceci, sans parler des risques de fraude interne. Pourtant, pour rassurer de manière objective, des solutions existent, comme les certifications.
L’un des avantages de la DSP2 est que ces acteurs devront être agréés. Cela est certes déclaratif, mais cela limite quand même les risques. Pour plus de prudence, il vaut donc mieux attendre l’entrée en vigueur de la directive, qui interviendra à horizon 2018.
Quelles sont les perspectives ?
La DSP2 prévoit plus large que la simple agrégation de données. Aussi, l’initiation de paiement devient également un service de paiement. En d’autres mots, il s’agit de proposer des fonctions de paiements à partir des données de compte (virements, etc.).
Ces nouveaux services peuvent aller encore plus loin en prodiguant, certains le font déjà comme Advizr et iQuantifi, des conseils bancaires (ouverture de comptes avec de meilleurs taux, plans de financement, où faire des économies, etc.).
Plein d’innovations très intéressantes en perspective, avec surtout un choix à faire : attendre l’entrée en vigueur de la DSP2 pour avoir un minimum de garantie sécuritaire ou bénéficier tout de suite de ces nouveaux services en priant très fort qu’aucuns incidents n’interviennent. Et vous, quel est votre choix ?
Monétique 