Avec la DSP 2, l’ère de l’open banking permet à de nouveaux acteurs d’accéder aux systèmes d’information des banques.
Qu’est-ce que l’open banking ?
L’open banking contraint les prestataires de services de paiement (1), à permettre à des tiers d’accéder à une partie de leurs bases de données. Cet accès s’opérera, d’un point de vue technique, par l’intermédiaire d’API, et ce de manière standardisée.
Pourquoi l’open banking ?
Applicable à compter du 1er janvier 2018 et en attente de transposition en droit français, la DSP 2 (2) constitue le fondement légal de cette tendance à l’ouverture des systèmes d’information, notamment en permettant l’accès sur le marché des prestataires de services de paiement à de nouveaux acteurs.
A qui profite cette ouverture ?
Cette ouverture profite à des acteurs nouvellement créés par la DSP 2.
Il s’agit d’une part, des prestataires de services d’information sur les comptes (PSIC), qui peuvent se définir comme des prestataires qui fournissent :
- « un service en ligne consistant à fournir des informations consolidées concernant un ou plusieurs comptes de paiement détenus par l’utilisateur de services de paiement soit auprès d’un autre prestataire de services de paiement, soit auprès de plus d’un prestataire de services de paiement » (3).
Cette ouverture, qui se réalise au profit d’agrégateurs de comptes bancaires, offre désormais une base légale à ce type de services d’agrégation de comptes bancaires, puisque dorénavant l’utilisateur a le droit de permettre l’accès à ses comptes de paiement à un tiers.
D’autre part, la DSP 2 consacre les prestataires de services d’initiation de paiement (PSIP) qui peuvent se définir comme des prestataires qui fournissent :
- « un service consistant à initier un ordre de paiement à la demande de l’utilisateur de services de paiement concernant un compte de paiement détenu auprès d’un autre prestataire de services de paiement » (4).
Ce type de services de paiement intervient dans les paiements dans le cadre du commerce électronique en établissant une passerelle logicielle entre le site internet du commerçant et la plateforme de banque en ligne du prestataire de services de paiement gestionnaire de compte du payeur en vue d’initier des paiements par Internet sur la base d’un virement.
Ces nouveaux acteurs du paysage bancaire disposent du statut de prestataire de services de paiement et sont agréés en tant que tel auprès de l’Autorité de contrôle prudentiel et de résolution (ACPR). Toutefois, ne détenant pas de fonds pour le compte des utilisateurs, ils seront soumis à une procédure d’agrément et à des exigences prudentielles allégées (5).
Open banking : quelles obligations pour les banques ?
Afin d’éviter, ou du moins limiter, un refus de la part des prestataires de services de paiement, la DSP 2 encadre les modalités de la communication lorsque les prestataires de paiement donnent accès à leurs données (6).
Cette communication doit se faire « de manière sécurisée » et « sans aucune discrimination autre que fondée sur des raisons objectives » (7), en d’autres termes des défaillances en termes de sécurité ou d’authentification documentées pourraient être invoquées. En revanche, un refus sur d’éventuelles nuisances techniques pour son système d’information ne pourrait être considéré comme une raison objective.
En outre, le prestataire de services de paiement ne peut faire valoir l’absence de contrat pour s’opposer à un accès à ses propres données (8).
DSP 2 et obligations des PSIC et des PSIP
Cet accès est néanmoins très encadré par la DSP 2 et repose a priori sur quatre grands piliers (9) :
- consentement de l’utilisateur à cette opération ;
- sécurité des données ;
- identification du PSIC ou du PICP ;
- utilisation des données uniquement pour des fins autorisées.
Qui est propriétaire de ces données agrégées ?
Dans le cadre de l’agrégation de données bancaires, on peut s’interroger sur le statut de la donnée bancaire en tant que telle.
Ainsi, l’établissement bancaire pourrait faire valoir un droit de propriété sur les données.
Or, des données comme le numéro des comptes bancaires ou le type de produits bancaires détenus par l’utilisateur ne sont pas des données protégées en soi, sur lesquelles qui que ce soit aurait un droit de propriété conféré de manière universelle et a priori par la loi ou les règlements.
Quant aux données issues de calculs spécifiquement effectués par des outils spécifiques du prestataire pour l’utilisateur, elles ne sont pas transformées au point qu’elles puissent être considérées comme des données dérivées et faire alors l’objet d’une protection par contrat.
Enfin, concernant les données à caractère personnel, les clients sont désormais libres, depuis la loi pour une République numérique, de décider de l’usage qui doit être fait de leurs données (10).
L’arrivée des PSIC et des PSIP sur le marché remodèle le paysage bancaire et consacre l’entrée des banques dans une période de mutation et d’ouverture des données.
Frédéric Forster
Charlotte Le Fiblec
Lexing Constructeur Informatique et Telecom
(1) CMF, art. L.521-1
(2) Directive n° 2015/2366 du 25-11-2015
(3) Directive n° 2015/2366 du 25-11-2015, art. 4
(4) Directive n° 2015/2366 du 25-11-2015, art. 4
(5) Directive n° 2015/2366 du 25-11-2015, art. 33
(6) Directive n° 2015/2366 du 25-11-2015, art. 67 et 68
(7) Directive n° 2015/2366 du 25-11-2015, art. 68 5°
(8) Directive n° 2015/2366 du 25-11-2015, art. 67 4°
(9) Directive n° 2015/2366 du 25-11-2015, art. 67 et 68
(10) Loi pour une République numérique n°2016-1321 du 7-10-2016, art. 54