Alors que la directive révisée sur les ‘Services de paiement’ (PSD2) doit entrer en vigueur le 13 janvier 2018, la Commission européenne doit encore publier les normes techniques réglementaires (RTS) finales sur l’authentification forte des clients et une communication commune et sécurisée, qui font actuellement l’objet de nombreuses divergences.
Le 23 février 2017, l’Autorité bancaire européenne (ABE) avait publié un projet de RTS, conformément au mandat qui lui est attribué par la directive PSD2 – projet qui avait été qualifié de « compromis raisonnable » par l’industrie (EUROPE 11733) et fustigé par les consommateurs considérant qu’il imposait de trop nombreuses exemptions à l’authentification forte des clients (EUROPE 11732).
Aux divergences entre industrie et consommateurs est venu s’ajouter plus récemment un désaccord entre l’ABE et la Commission sur le volet ‘communication commune et sécurisée’.
Au cœur de ce bras de fer se trouve la proposition de la Commission - exposée dans une lettre envoyée le 24 mai dernier au président de l’ABE - d’amender le projet de RTS afin d’autoriser la pratique du ‘screen scraping’ lorsque l’interface de communication entre les banques et les fournisseurs de services de paiement tiers n’est pas disponible pendant plus de 30 secondes ou si elle ne respecte pas les obligations applicables aux interfaces.
Cette pratique, qui consiste à donner aux tierces parties un accès au compte bancaire d’un consommateur qui achète un produit en ligne et lui confie son paiement, est très controversée en raison de l’accès total qu’elle donne à des données personnelles telles que le compte épargne ou encore les assurances et prêts souscrits par le client, sans que la banque n’ait eu la possibilité de demander à ce dernier son consentement clair.
Dans son projet initial, l’ABE proposait en effet que les tierces parties puissent continuer à avoir accès au compte bancaire du client au nom de ce dernier, mais par une interface distincte créée par les banques, appelée ‘interface programmable pour applications’ (Application Programming Interface) et donnant accès aux seules informations nécessaires pour le service fourni – pratique déjà utilisée par certains grands acteurs d’Internet tels qu’Amazon, Google ou Facebook et soutenue aussi bien par l’industrie que les consommateurs.
Le 29 juin, l’ABE avait répondu à la Commission en publiant un avis dans lequel elle expliquait ses raisons pour ne pas accepter cet amendement estimant que cela « impacterait de façon négative l’équilibre trouvé précédemment dans le projet de RTS ». Elle avait alors proposé une alternative visant à renforcer les exigences énoncées dans les RTS afin de rendre les interfaces plus performantes avec notamment une obligation pour les banques de définir des indicateurs de performance ou encore un examen du fonctionnement des interfaces 18 mois après l'application des RTS afin de garantir que l'accès et le partage des informations fonctionnent comme prévu.
Pour le Bureau européen des unions de consommateurs (BEUC), qui rejette catégoriquement l’option soutenue par la Commission, la meilleure solution serait une interface de communication européenne standardisée qui « favoriserait la concurrence entre les banques et les tiers de paiement tout en garantissant la protection des données personnelles des consommateurs », a expliqué Farid Aliyev du BEUC à EUROPE.
Si face à l’ABE, c’est bien la Commission qui aura le dernier mot, elle devra néanmoins soumettre les RTS pour approbation au Parlement européen et au Conseil, qui auront alors trois mois pour donner leur consentement.
Plusieurs organisations, dont la Fédération bancaire européenne et le BEUC, ont organisé une audition au Parlement européen le 11 juillet dernier afin de tenter de convaincre une dernière fois la Commission de la nécessité de bannir la pratique du ‘screen scraping’. Mais, selon plusieurs sources européennes, celle-ci aurait répondu (verbalement) qu’elle souhaitait maintenir sa position. Les parties prenantes se sont alors tournées vers les députés européens, les appelant à adopter les RTS telles que proposées par l’ABE dans son projet initial.
Alors qu’aucune date n’a encore été fixée pour la publication finale des RTS, certains commentateurs ont d’ores et déjà soulevé des craintes quant au calendrier et évoqué un possible retard dans l’entrée en vigueur de la directive PSD2. (Marion Fontana)