A qui appartiennent les données bancaires des clients des banques ?

données bancairesLes comptes bancaires recèlent de nombreuses données bancaires diverses : à qui appartiennent ces données ?

Propriété des données : l’absence de statut

L’état actuel de la législation ne permet pas de reconnaitre le caractère appropriable des données « la notion de propriété des données n’a pas de statut juridique en tant que tel » (1).

Pourtant, il semble que la donnée fasse l’objet de tentatives d’appropriation de plus en plus fréquentes à différents titres. Mais, pour autant, constitue-t-elle un bien relevant du droit de propriété au sens de l’article 544 du Code civil qui dispose que :

« la propriété est le droit de jouir et disposer des choses de la manière la plus absolue, pourvu qu’on n’en fasse pas un usage prohibé par les lois ou par les règlements. »

Seule la « chose » peut donc être un objet de cette propriété. Elle se définit d’ailleurs classiquement comme « tout ce qui, dans la nature, a une existence corporelle et tangible, hormis l’homme » (2).

Certains proposent que cette définition soit élargie aux choses non nécessairement tangibles mais perceptibles, voire à toute chose qu’il est utile et possible de s’approprier.

Néanmoins, afin que la donnée bancaire fasse naître un droit de propriété, il conviendrait de lui conférer, par voie légale ou réglementaire, le statut de chose, ce qui n’est pas le cas en l’état de notre droit positif. En l’absence d’une telle disposition, il n’est donc pas possible, actuellement, de considérer que la donnée peut, par le seul fait de son existence ou de sa collecte, faire l’objet d’une appropriation par qui que ce soit.

Toutefois, si les données n’ont pas de statut général, une analyse pour chaque type de données permet néanmoins de dégager quelques règles applicables.

Données brutes, données dérivées : une distinction suffisante pour l’appropriation ?

Les comptes bancaires des clients contiennent des données bancaires qui peuvent être très basiques, comme le nom des produits bancaires, le solde du compte, etc. Ce sont ce qu’on peut qualifier de « données brutes », en ce qu’elles n’ont pas de valeur intrinsèque et ne sont pas le résultat d’un travail intellectuel ou de création de la part de la banque. Elles sont utiles pour la gestion du compte en banque mais sont similaires d’une banque à une autre.

On peut les opposer à ce qu’on appelle les « données dérivées ». Ces dernières n’ont pas, en droit français, de définition légale mais, techniquement, les données dérivées désignent les informations créées à partir de, ou ayant pour origine directement ou indirectement, des données, à condition que :

  • les données qui en sont à l’origine, ne puissent être déterminées ou recréées par un calcul ou un processus automatisé, tel qu’un processus d’ingénierie inversée (« reverse engineering ») ;
  • les informations créées ne puissent être utilisées comme substitut aux données d’origine.

Les données répondant à ces critères pourraient être protégées par le droit d’auteur, sous réserve d’être originales.

Qu’en est-il des données qui se trouvent dans les comptes bancaires et qui permettent d’identifier le client ?

Les données à caractère personnel sont-elles appropriables ?

Il ressort de la loi Informatique et libertés (3) et du Règlement européen sur la protection des données (RGPD) (4) qu’une donnée peut être qualifiée de donnée à caractère personnel dès lors qu’elle permet l’identification, soit directe soit indirecte, d’un individu, personne physique, et ce, quel que soit le type de données.

Ainsi la Cnil a considéré à plusieurs reprises qu’une donnée bancaire liée à la nature et à l’identification du compte (numéro, type, caractéristique du compte, etc.) pouvait constituer une donnée à caractère personnel (5), au même titre que le numéro de carte bancaire (6).

Ceci devrait naturellement être repris et confirmé par le « pack de conformité banque » qui est en cours de préparation par la Cnil.

La loi pour une République numérique (7) a, quant à elle, complété la loi informatique et libertés en considérant que :

« toute personne dispose du droit de décider et de contrôler les usages qui sont faits des données à caractère personnel la concernant, dans les conditions fixées par la présente loi (L. 78-17 du 6-1-1978, art. 1er). »

A ce titre, seule la personne dont les données à caractère personnel ont été collectées (désigné par la loi Informatique et libertés et le RGPD comme étant « la personne concernée ») devrait avoir le droit de décider de l’utilisation qui sera faite de ses données et donc de disposer de ses données à sa convenance.

On le voit, les textes semblent donner à la personne physique dont les données ont été collectées des droits qui confinent à ceux qu’un propriétaire pourrait exercer sur une chose sans toutefois que, ni la loi Informatique et libertés, le RGPD ou la loi pour une République numérique n’affirment clairement que les individus disposent d’un droit de propriété plein et entier sur les données qui les concernent.

Comment protéger les données ?

En l’absence de protection légale, peut-on s’approprier les données bancaires d’un client par contrat ?

C’est à cette question que la Cour de justice de l’Union Européenne (CJUE) a eu à répondre (8) dans l’affaire Ryanair.

Dès lors qu’une base de données n’est éligible à aucun de ces deux droits, elle ne relève pas du champ d’application de la directive, et son régime de protection éventuel relève du droit national (9).

C’est donc au regard du seul droit national que doit s’apprécier la licéité de dispositions contractuelles interdisant la reprise à des fins commerciales des données issues de telles bases de données.

Cette protection contractuelle est même plus grande que celle du producteur de base de données qui octroie des droits d’extraction et de réutilisation non substantielle aux utilisateurs.

En d’autres termes, l’organisation de la propriété des données produites, conservées et collectées par les banques, pourrait, à l’instar de ce que la société Ryanair avait fait au travers de ses conditions générales d’utilisation, relever des contrats proposés par les établissements concernés.

Les autres moyens de s’approprier les données

Cette protection par le droit des contrats peut se heurter à d’autres modes de protection légaux, qui tiennent compte de la nature spécifique des données, et en particulier de leur valeur économique intrinsèque telle que la protection par :

  • le secret des affaires à condition que :
    • les données soient secrètes ;
    • les données aient une valeur commerciale, parce qu’elles sont secrètes par exemple ;
    • les données aient fait l’objet, de la part de la personne qui en a le contrôle de façon licite, de dispositions raisonnables, compte tenu des circonstances, destinées à les garder secrètes (9).

Il est néanmoins possible que cette protection par le secret des affaires ne permette pas à la banque de protéger les données des comptes bancaires de ses clients en ce que les données sont connues ne serait-ce que par le client lui-même, en tant que destinataire des services bancaires considérés ;

  • le droit sui generis du producteur de la base de données :
    • en raison de l’investissement permanent quant à l’élaboration et au maintien à jour de leurs bases de données, les banques peuvent être qualifiées de producteurs de bases de données et donc interdire l’extraction d’une partie substantielle du contenu de la base sur un autre support, par tout moyen et sous toute forme que ce soit.

Ces moyens de protection ne semblent pas aussi simples à mettre en œuvre alors qu’apparaissent de nouveaux acteurs tels que les prestataires de services d’information sur les comptes (PSIC) et les prestataires de services d’initiation de paiement (PSIP) ne pourront pas interdire l’accès aux comptes de leurs clients, sauf pour des motifs de sécurité…

Frédéric Forster
Charlotte Le Fiblec
Lexing Constructeurs Informatique et Telecom

(1) Alain Bensoussan, « La propriété des données », Blog expert Le Figaro, 18-5-2010.
(2) Jacques Hansenne, Les biens. Tome 1, Précis. Collections scientifiques de la Faculté de Droit de l’Université de Liège, 1996, n°14 et 15.
(3) Loi n°1978-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés.
(4) Règlement européen n°2016-679 du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données.
(5) Exercice du droit d’accès au fichier des comptes bancaires et assimilés (Ficoba), Fiche Cnil, sept. 2016.
(6) Pack de conformité Assurances, Fiche Cnil nov. 2014.
(7) Loi n°2016-1321 du 7-10-2016 pour une République numérique, article 54.
(8) CJUE, 15-01-2015, affaire n° C-30/14,. Ryanair Ltd c/ PR Aviation BV.
(9) Directive UE 2016/943 du Parlement européen et du Conseil du 8 juin 2016 sur la protection des savoir-faire et des informations commerciales non divulgués, article 2, 1).




Le renforcement des pouvoirs de l’Autorité bancaire européenne

l’Autorité bancaire européenneLa DSP 2 élargit les compétences et renforce les pouvoirs de l’Autorité bancaire européenne (ABE) instituée en 2010. Jusqu’à l’adoption de la directive sur les services de paiements (Dir. 2015-2366 du 25-11-2015) (1), cette autorité n’avait connu aucune réforme structurante.

A l’origine : des compétences et des pouvoirs restreints

Dès sa création en 2010 (Règl. 1093-2010 du 24-11-2010), l’Autorité bancaire européenne fait partie du nouveau système européen de surveillance financière (SESF) pour remédier aux carences de la supervision financière, révélées par la crise financière (2).

Le SESF avait été conçu comme « un réseau d’autorités microprudentielles et macroprudentielles décentralisé et à composantes multiples » (3), afin d’assurer une surveillance financière homogène et cohérente dans l’UE.

S’en est donc suivi la création de plusieurs autorités de surveillance européennes :

  • l’Autorité bancaire européenne (l’ABE) ;
  • l’Autorité européenne de surveillance des marchés financiers (l’AEMF) ;
  • l’Autorité européenne de surveillance des assurances et pensions professionnelles (AEAPP) ;
  • le comité mixte des autorités européennes de surveillance ;
  • les autorités des États membres de l’Union européenne concernées par les règlements de l’ABE, l’AEMF et de l’AEAPP.

Initialement, l’Autorité bancaire européenne avait pour principale mission de contribuer à la stabilité et l’efficacité du système financier, et ce, notamment, en renforçant la protection des consommateurs, ou en assurant l’intégrité, la transparence, l’efficience et le bon fonctionnement des marchés financiers.

S’ajoutait à cela, une mission de surveillance et d’analyse :

  • de l’évolution du marché, y compris en matière de crédit, en particulier pour les ménages et les PME ;
  • sur les évolutions économiques des marchés (Règl. 1093-2010 du 24-11-2010, art. 8.).

Au-delà de ces missions strictement définies, l’ABE se voyait confier des missions aux contours plus incertains tels que « favoriser la protection des déposants et les investisseurs » ou « stimuler et faciliter la délégation des tâches et des responsabilités entre autorités compétentes » (Règl. 1093-2010 du 24-11-2010, art. 8.). Il était difficile de voir comment les missions dont était chargée l’ABE allaient bien pouvoir s’articuler avec celles de la Banque Centrale Européenne (BCE) et celles des autorités régulatrices européennes des Etats membres.

Vers une autorité de contrôle et de régulation européenne

La réforme des services de paiement a conduit à ce que soient étendus les pouvoirs de l’Autorité bancaire européenne.

Désormais l’Autorité bancaire européenne établit, exploite et gère un registre électronique contenant l’ensemble des informations notifiées par les autorités régulatrices dans lesquels sont établis (DSP 2, art. 15) :

  • les établissements de paiement agréés et leurs agents ;
  • les prestataires de services d’information sur les comptes ;
  • la Caisse des dépôts et des consignations et leur équivalent dans les différents pays européens.

En cas de retrait de l’agrément, les autorités compétentes sont tenues d’informer l’ABE et de lui justifier les raisons du retrait.

Cette centralisation constitue une avancée tant il était difficile d’avoir une photographie précise de l’implantation des prestataires de services de paiement dans l’Union Européenne.

Cela permet également de mettre fin au morcellement qui existait entre les différents Etats sur la disponibilité de cette information.

La DSP 2 tend à faire de la transparence de l’information et des échanges entre les autorités un facteur de réussite du SESF. Cela se traduit notamment par la consécration de l’échange d’information entre (DSP 2, art 26) :

  • les autorités compétentes des états membres ;
  • la BCE ;
  • les banques centrales des Etats membres ;
  • l’autorité bancaire européenne.

L’ABE peut également participer au règlement des différends entre autorités compétentes (DSP 2, art. 27). En effet, lorsqu’une autorité compétente d’un Etat membre estime que la coopération transfrontalière avec les autorités compétentes d’un autre Etat membre n’est pas satisfaisante (manquement à l’échange d’informations, absence d’échange d’informations en cas de suspicion d’une infraction d’un établissement de paiement…), elle peut, à la demande de l’autorité par laquelle elle est saisie, prêter assistance pour trouver un accord.

Et après ?

La DSP2 est applicable à compter du 25 janvier 2018. Il faudra donc attendre encore quelques années pour apprécier comment l’ABE va parvenir à s’imposer comme une autorité de tutelle supra-européenne.

Frédéric Forster
Charlotte Le Fiblec
Lexing Constructeurs Informatique et Telecom

(1) Directive n°2015-2366 du Parlement européen et du Conseil du 25 novembre 2015 concernant les services de paiement dans le marché intérieur.
(2) Règlement n°1093-2010 du Parlement européen et du Conseil du 24 novembre 2010 instituant une autorité européenne de surveillance.
(3) Le Système européen de surveillance financière (SESF), Fiche technique sur l’Union européenne.




Support durable : tout le monde en parle, mais qu’est-ce ?

Support durableLa notion de support durable dans le cadre de services en ligne précisée par la Cour de justice de l’Union européenne est un élément clé dès qu’il s’agit de dématérialisation ou de « voie électronique », le support durable est visé par de nombreux textes pour remplacer le support papier.

C’est surtout le droit de la consommation qui retient ce concept de support durable : lorsque l’on décide de passer en tout électronique, il est permis de transmettre un certain nombre d’informations précontractuelles et contractuelles, aux consommateurs, soit sur support papier, soit sur support dit « durable ».

L’exigence vient de la directive 2011/83/UE du 25 octobre 2011 relative aux droits des consommateurs qui instaure la définition, alors que la directive 2000/31/CE sur le commerce électronique n’en disait mot.

Le Code des assurances et le Code monétaire et financier y font référence. L’article 1375 du Code civil prévoit lui aussi la possibilité de remettre un support durable en lieu et place d’un des exemplaires originaux papier qui doivent être remis à chaque partie à un contrat.

Par un arrêt du 25 janvier 2017, la Cour de justice de l’Union européenne vient préciser la notion de support durable dans le cadre d’une question préjudicielle introduite par la Cour suprême d’Autriche (1).

Petit rappel des faits

Une banque autrichienne avait mis en place pour ses consommateurs un système électronique permettant à ses consommateurs, via le site internet de la banque, de recevoir des communications et des messages sur une boîte électronique dédiée sur un espace client du site internet. Les conditions générales d’utilisation du site de banque en ligne indiquaient que « le client qui a souscrit à l’e-banking reçoit les communications et messages (en particulier, les messages relatifs au compte, les extraits de compte, les relevés de cartes de crédit, les communications de modification, etc.) que la banque doit fournir au client ou mettre à la disposition de ce dernier par la poste ou au moyen d’une consultation ou d’une transmission par voie électronique dans le cadre du système e-banking ».

Tous les messages adressés aux consommateurs subsistaient sur la boîte électronique sans qu’ils puissent être modifiés et ne pouvaient être supprimés pendant une durée adaptée à l’information des consommateurs.

Par ailleurs, les consommateurs avaient la possibilité de reproduire à l’identique les messages qui leurs étaient adressés, par voie électronique ou en les imprimant.

Une association saisit les tribunaux autrichiens afin que la banque cesse cette pratique, estimant celle-ci comme contraire aux dispositions relatives aux services de paiement.

La Cour suprême pose alors les questions préjudicielles suivantes :

  • une information transmise par une banque dans la boîte à lettre électronique dédiée du client sur le site de la banque en ligne est-elle considérée comme fournie sur support durable ? ;
  • à défaut :
    • cette information est-elle considérée comme accessible sur un support durable mais non comme étant « fournie » au client ;
    • cette information est mise à disposition sans recours à un support durable.

La directive européenne (2) concernant les services de paiement dans le marché intérieur impose, en particulier, que l’information générale préalable à un contrat ou à une offre soit fournie au consommateur par le prestataire de services de paiement sur support papier ou sur un autre support durable. Il en est de même au cours de la relation contractuelle, lorsque le consommateur demande communication du contrat ainsi que pour toute modification de contrat.

Qu’est-ce qu’un support durable ?

A cet égard, la directive européenne (dir. 2007/64/CE, art. 4, 25°) définit la notion de support durable comme « tout instrument permettant à l’utilisateur de services de paiement de stocker les informations qui lui sont personnellement adressées d’une manière telle que ces informations puissent être consultées ultérieurement pendant une période adaptée à leur finalité et reproduites à l’identique ».

Si la définition semble claire, sa mise en œuvre pratique reste un casse-tête pour les éditeurs de services en ligne.

Il s’agit, par exemple les supports suivants qui sont visés par la directive sur les services de paiement :

  • CD-Rom ;
  • clés USB ;
  • courriers électroniques.

A ces questions, la Cour de justice de l’union européenne répond que les informations transmises au consommateur via une boîte électronique sur un espace client du site de banque en ligne sont considérées comme fournies sur support durable, sous réserve de répondre aux exigences suivantes :

« ce site internet permet à cet utilisateur de stocker les informations qui lui ont été personnellement adressées de manière qu’il puisse y accéder et les reproduire à l’identique, pendant une durée appropriée, sans qu’aucune modification unilatérale de leur contenu par ce prestataire ou par un autre professionnel ne soit possible, et ;
si l’utilisateur de services de paiement est obligé de consulter ledit site internet afin de prendre connaissance desdites informations, la transmission de ces informations est accompagnée d’un comportement actif du prestataire de services de paiement destiné à porter à la connaissance de cet utilisateur l’existence et la disponibilité desdites informations sur ledit site internet. »

En effet, la Cour souligne que les prestataires de services de paiement ne peuvent s’attendre à ce que les consommateurs consultent leur boîte électronique sur le site de la banque en ligne de manière régulière.

L’avocat général précise dans ses conclusions que le comportement actif du prestataire pouvait être matérialisé par l’envoi d’une lettre ou même d’un courrier électronique à l’adresse du consommateur dans la mesure où le choix de cette adresse a été convenu entre le prestataire et le consommateur. En revanche, l’avocat général a indiqué que cette adresse ne pouvait pas être celle dédiée au consommateur pour l’utilisation du site de la banque en ligne (3).

A défaut, lorsque la transmission des informations ne s’accompagne pas d’un tel comportement actif de la part du prestataire, les informations seront seulement considérées comme mises à disposition et non comme fournies au consommateur, dans la mesure où celui-ci est obligé de consulter le site afin d’en prendre connaissance.

Etude d’impact

La décision de la Cour de justice de l’Union européenne a vocation à s’appliquer à tous les domaines où il est question de transmettre un support durable (4). Qui plus est, on peut penser qu’elle laisse la voie ouverte à la messagerie électronique sécurisée et internalisée (de type par exemple Amelie.fr) ou le coffre-fort numérique mis à disposition de chaque client (5).

Si on peut déceler dans cette décision une ouverture sur la notion de support durable, il faudra néanmoins montrer prudent dans son application. En effet, la position de la Cour de justice n’est, actuellement, pas celle de la Direction Générale de la Concurrence, de la Consommation et de la Répression des Fraudes qui indique qu’un « lien hypertexte vers le site internet » n’est pas un support durable et qu’« un support durable est le plus souvent sous format pdf ou autre permettant au consommateur de télécharger et de conserver le contrat électronique » (6).

Elle a également précisé que les consommateurs « ont souvent accès aux documents (téléchargeables ou consultables sur le site internet) mais ces derniers ne leur sont pas envoyés comme l’exige la loi ou leur sont adressés sur un support non durable (lien hypertexte vers le site internet) » (7).

Cette notion devrait en principe être précisée par voie d’ordonnance en application de l’article 104 de la loi pour une République numérique, lequel autorise le gouvernement à adopter des mesures permettant de communiquer des informations relatives aux contrats conclus dans le domaine bancaire et assurantiel sur support durable (8).

Une cohabitation complexe avec des notions voisines du droit de la dématérialisation

On sera donc bientôt fixé. Mais il n’empêche que la notion cohabite avec d’autres notions voisines dans le cadre de la dématérialisation documentaire :

  • l’écrit électronique visé par l’article 1366 du Code civil : celui-ci- a la même force probante que l’écrit sur support papier, sous réserve de garantir l’origine et l’intégrité de son contenu. Certes, mais à part cela, tout support électronique est autorisé. La définition semble plus large que celle de support durable, mais en réalité plus complète : intégrité et garantie d’origine sont des exigences essentielles et récurrentes en droit de la dématérialisation (9) ;
  • le document électronique visé à l’article 3.35 du règlement eIDAS comme « tout contenu conservé sous forme électronique, notamment un texte ou un enregistrement sonore, visuel ou audiovisuel » ;
  • tout contenu conservé sous forme électronique, notamment un texte ou un enregistrement sonore, visuel ou audiovisuel et dont l’article 46 prévoit un principe de non-discrimination entre le papier et l’électronique : « L’effet juridique et la recevabilité d’un document électronique comme preuve en justice ne peuvent être refusés au seul motif que ce document se présente sous une forme électronique. »
  • la copie « fiable » (C. civ. 1379) remplace depuis la réforme du Code civil d’octobre 2016, la notion de « copie fidèle et durable » qui semblait jusqu’alors se rapprocher de la notion de support durable. La copie fiable est : « toute copie résultant d’une reproduction à l’identique de la forme et du contenu de l’acte, et dont l’intégrité est garantie dans le temps par un procédé conforme à des conditions fixées par décret en Conseil d’État ».

Pour conclure, le juriste doit jongler avec différentes notions proches qui ne se recoupent pas forcément, pour transmettre les mêmes informations et fixer des obligations.

Ainsi, pour la conclusion de contrats à distance et par voie électronique multicanal, il est recommandé de :

  1. Identifier quelles informations doivent être transmises sur support durable, à quel moment du parcours ces informations doivent être transmises, s’il faut un écrit électronique à titre de validité ou à titre de preuve, s’il peut être cliqué ou doit être signé électronique, identifier les possibilités techniques de transmission des informations, vérifier que le parcours et le procédé technique retenus correspondent de bout en bout aux exigences légales et jurisprudentielles de support durable, mais également des textes spécifiques liés au contrat concerné.
  2. Prévoir des spécifications juridiques intégrées au cahier des charges : c’est un excellent moyen de concevoir un parcours électronique « legal by design » et éviter les « no go » du service juridique.
  3. Prévoir une « legal opinion » qui pourra aider et acculturer les commerciaux pour convaincre les clients de la conformité légale du parcours électronique.

Polyanna Bigle
Chloé Gaveau
Département Sécurité Numérique

(1) CJUE 25-1-2017, Affaire C‑375/15 ;
(2) Dir. 2007/64/CE du 13-11-2007 concernant les services de paiement dans le marché intérieur ; Dir. (UE) 2015/2366 du 25-11-2015 concernant les services de paiement dans le marché intérieur (abroge la dir. 2007/64/CE à compter du 13-1-2018).
(3) Conclusions de l’avocat général Monsieur Michal Bobek, présentées le 15-9-2016,  dans l’affaire C-375/15.
(4) Dir. 2011/83/UE 25-10-2011 relative aux droits des consommateurs ; Dir. 2002/65/CE du 23-9-2002 concernant la commercialisation à distance de services financiers auprès des consommateurs
(5) Polyanna Bigle, Quand le coffre-fort numérique entre dans le droit français, Alain-Bensoussan.com 21-11-2016 .
(6) DGCCRF, Démarchage à domicile ou les contrats hors établissement, 19-12-2016
(7) DGCCRF, Démarchage et vente à distance d’assurances, 22-12-2014
(8) Loi 2016-1321 du 7-10-2016 pour une République numérique, art. 104.
(9) Par exemple in fine signature électronique et lettre recommandée électronique.




Bienvenue dans l’ère de la DSP 2 et de l’open banking !

Bienvenue dans l’ère de la DSP 2 et de l’open banking !Avec la DSP 2, l’ère de l’open banking permet à de nouveaux acteurs d’accéder aux systèmes d’information des banques.

Qu’est-ce que l’open banking ?

L’open banking contraint les prestataires de services de paiement (1), à permettre à des tiers d’accéder à une partie de leurs bases de données. Cet accès s’opérera, d’un point de vue technique, par l’intermédiaire d’API, et ce de manière standardisée.

Pourquoi l’open banking ?

Applicable à compter du 1er janvier 2018 et en attente de transposition en droit français, la DSP 2 (2) constitue le fondement légal de cette tendance à l’ouverture des systèmes d’information, notamment en permettant l’accès sur le marché des prestataires de services de paiement à de nouveaux acteurs.

A qui profite cette ouverture ?

Cette ouverture profite à des acteurs nouvellement créés par la DSP 2.

Il s’agit d’une part, des prestataires de services d’information sur les comptes (PSIC), qui peuvent se définir comme des prestataires qui fournissent :

  • « un service en ligne consistant à fournir des informations consolidées concernant un ou plusieurs comptes de paiement détenus par l’utilisateur de services de paiement soit auprès d’un autre prestataire de services de paiement, soit auprès de plus d’un prestataire de services de paiement » (3).

Cette ouverture, qui se réalise au profit d’agrégateurs de comptes bancaires, offre désormais une base légale à ce type de services d’agrégation de comptes bancaires, puisque dorénavant l’utilisateur a le droit de permettre l’accès à ses comptes de paiement à un tiers.

D’autre part, la DSP 2 consacre les prestataires de services d’initiation de paiement (PSIP) qui peuvent se définir comme des prestataires qui fournissent :

  • « un service consistant à initier un ordre de paiement à la demande de l’utilisateur de services de paiement concernant un compte de paiement détenu auprès d’un autre prestataire de services de paiement » (4).

Ce type de services de paiement intervient dans les paiements dans le cadre du commerce électronique en établissant une passerelle logicielle entre le site internet du commerçant et la plateforme de banque en ligne du prestataire de services de paiement gestionnaire de compte du payeur en vue d’initier des paiements par Internet sur la base d’un virement.

Ces nouveaux acteurs du paysage bancaire disposent du statut de prestataire de services de paiement et sont agréés en tant que tel auprès de l’Autorité de contrôle prudentiel et de résolution (ACPR). Toutefois, ne détenant pas de fonds pour le compte des utilisateurs, ils seront soumis à une procédure d’agrément et à des exigences prudentielles allégées (5).

Open banking : quelles obligations pour les banques ?

Afin d’éviter, ou du moins limiter, un refus de la part des prestataires de services de paiement, la DSP 2 encadre les modalités de la communication lorsque les prestataires de paiement donnent accès à leurs données (6).

Cette communication doit se faire « de manière sécurisée » et « sans aucune discrimination autre que fondée sur des raisons objectives » (7), en d’autres termes des défaillances en termes de sécurité ou d’authentification documentées pourraient être invoquées. En revanche, un refus sur d’éventuelles nuisances techniques pour son système d’information ne pourrait être considéré comme une raison objective.

En outre, le prestataire de services de paiement ne peut faire valoir l’absence de contrat pour s’opposer à un accès à ses propres données (8).

DSP 2 et obligations des PSIC et des PSIP

Cet accès est néanmoins très encadré par la DSP 2 et repose a priori sur quatre grands piliers (9) :

  • consentement de l’utilisateur à cette opération ;
  • sécurité des données ;
  • identification du PSIC ou du PICP ;
  • utilisation des données uniquement pour des fins autorisées.

Qui est propriétaire de ces données agrégées ?

Dans le cadre de l’agrégation de données bancaires, on peut s’interroger sur le statut de la donnée bancaire en tant que telle.

Ainsi, l’établissement bancaire pourrait faire valoir un droit de propriété sur les données.
Or, des données comme le numéro des comptes bancaires ou le type de produits bancaires détenus par l’utilisateur ne sont pas des données protégées en soi, sur lesquelles qui que ce soit aurait un droit de propriété conféré de manière universelle et a priori par la loi ou les règlements.

Quant aux données issues de calculs spécifiquement effectués par des outils spécifiques du prestataire pour l’utilisateur, elles ne sont pas transformées au point qu’elles puissent être considérées comme des données dérivées et faire alors l’objet d’une protection par contrat.
Enfin, concernant les données à caractère personnel, les clients sont désormais libres, depuis la loi pour une République numérique, de décider de l’usage qui doit être fait de leurs données (10).

L’arrivée des PSIC et des PSIP sur le marché remodèle le paysage bancaire et consacre l’entrée des banques dans une période de mutation et d’ouverture des données.

Frédéric Forster
Charlotte Le Fiblec
Lexing Constructeur Informatique et Telecom

(1) CMF, art. L.521-1
(2) Directive n° 2015/2366 du 25-11-2015
(3) Directive n° 2015/2366 du 25-11-2015, art. 4
(4) Directive n° 2015/2366 du 25-11-2015, art. 4
(5) Directive n° 2015/2366 du 25-11-2015, art. 33
(6) Directive n° 2015/2366 du 25-11-2015, art. 67 et 68
(7) Directive n° 2015/2366 du 25-11-2015, art. 68 5°
(8) Directive n° 2015/2366 du 25-11-2015, art. 67 4°
(9) Directive n° 2015/2366 du 25-11-2015, art. 67 et 68
(10) Loi pour une République numérique n°2016-1321 du 7-10-2016, art. 54




Le banking as a service (BaaS) : le renouveau de la banque

banking as a serviceUne nouvelle manière d’envisager les services bancaires semble s’ouvrir avec le développement du banking as a service.

Reprenant la terminologie bien connue en informatique du software as a service (le « SaaS »), qui désigne un logiciel installé sur un serveur que l’utilisateur exploite à distance, le banking as a service (le « BaaS »), est une plateforme technologique hébergée en cloud qui permet la fourniture de services de paiement par de nouveaux acteurs.

Face au développement et au succès grandissant que rencontrent les interfaces de programmation ouvertes (les « Api »), de nombreux acteurs non-bancaires en ont profité pour développer à leur tour un ensemble de services de paiement clés en main, « en libre-service » dans le cloud, destinés à des prestataires de services de paiement en quête de nouvelles solutions innovantes et flexibles. Ainsi, ces derniers peuvent décider, à leur convenance, de recourir au BaaS auprès d’un prestataire technique pour qu’il mette notamment à leur disposition, des services bancaires de bases ou des services de gestions de portefeuille.

Ce modèle de « morcellement des services de paiement » a pour conséquence de bousculer le schéma classique bancaire dans lequel l’offre, allant de la fourniture du carnet de chèque à l’ouverture et la gestion du compte bancaire, était traditionnellement globale.

L’enjeu majeur réside dans le fait que ces nouveaux acteurs ne sont pas agréés auprès de l’Autorité de contrôle prudentiel et de résolution (ACPR) et ne sont donc pas soumis à une obligation spécifique de sécurité, comme peuvent l’être les prestataires de services de paiement (Arrêté 3-11-2014, art. 255). Dès lors, cette externalisation de services bancaires ne nuit-elle pas aux obligations de sécurité propres aux prestataires de services de paiement ?

Pourquoi recourir au banking as a service (BaaS) ?

L’atout majeur du banking as a service est d’ordre technique puisqu’il offre au prestataire de services de paiement la possibilité de disposer d’un système informatique agile, flexible et innovant, tout en se dispensant d’investissements humains et financiers que ce type de développement aurait naturellement impliqué.

Les prestataires de services de paiement ne constituent pas les uniques cibles du banking as a service, puisque ce service s’adresse également à des groupes digitaux ou des start-up qui souhaiteraient élargir leur offre en proposant des services bancaires à leurs clients, mais sans avoir à gérer l’infrastructure technique et complexe de ce type de services.

Quels sont les risques juridiques ?

L’arrêté du 3 novembre 2014, relatif au contrôle interne des entreprises du secteur de la banque, des services de paiement et des services d’investissement soumis au contrôle de l’ACPR (1), règlemente les exigences en matière de contrôle interne des prestataires de services de paiement. A ce titre, l’accent est en particulier porté sur le maintien du contrôle interne malgré l’externalisation de services de paiement.

Ainsi, l’externalisation de certains services, tels la réception de fonds remboursables du public, les opérations de crédit, ou les services bancaires de paiement (CMF, art. L.311-1) (2) ne peut se réaliser qu’auprès de prestataires de services de paiement.

Pour les autres services qui ne sont pas visés dans cet article, l’externalisation est permise, mais elle ne doit pas néanmoins compromettre le contrôle interne mis en place par l’établissement (Arrêté 3-11-2014, art 252).

Cependant, le banking as a service, ne constitue pas en tant que tel une externalisation du service puisque l’établissement bancaire continue d’assurer la fourniture du service hébergé en SaaS auprès de ses clients. En effet, le BaaS n’est qu’un moyen technique de gestion des services de paiement.

Toutefois, on peut se poser la question si cette externalisation n’est pas susceptible de mettre en péril l’exigence de sécurité à laquelle les prestataires de services de paiement sont tenus. En effet, alors que l’externalisation auprès de prestataires de services de paiement ne soulèverait pas de problèmes, elle mériterait d’être davantage encadrée lorsqu’elle est effectuée auprès de prestataires techniques qui n’ont pas de statut juridique spécifique, et ne sont donc pas soumis à des obligations de sécurité renforcée.

Cela conduit dès lors à s’interroger sur la protection du secret bancaire. En effet, comment garantir la protection des données dans le cloud, lorsque ces données sont hébergées dans les « nuages » avec des millions d’autres données ? Cela est d’autant plus problématique que ces données ne sont pas sous le contrôle direct de la banque elle-même mais d’un prestataire technique qui définit lui mêmes ses propres mesures de sécurité, ce qui implique une attention toute particulière dans la rédaction et la négociation des contrats conclus avec le prestataire technique.

Quels sont les points d’attention d’un contrat BaaS ?

Tout comme pour l’utilisation du SaaS, le recours au BaaS implique la vigilance sur un ensemble de stipulations contractuelles.
Avant toute chose, il est impératif de déterminer les services et les données que l’on souhaite externaliser, et ce afin de pouvoir ensuite apprécier les différentes exigences de sécurité à mettre en œuvre.

Enfin, tout comme pour le contrat SaaS, la vigilance doit être apportée à la réversibilité, et aux niveaux de services et à leur auditabilité afin d’avoir une vision sur les engagements du prestataire.

Quel avenir pour les banques ?

Le BaaS répond à un besoin de souplesse des systèmes d’information des banques qui se complexifient avec le temps. La difficulté majeure à venir pour les banques ne vient pas tant de cette innovation, qui a vocation à les aider à se renouveler, mais à l’ouverture de leur système d’informations aux agrégateurs, qui disposent désormais d’un statut légitime (3).

L’ère de « l’open banking » (4) n’en est qu’à ses premiers balbutiements…

Frédéric Forster
Charlotte Le Fiblec
Lexing Constructeur Informatique et Telecom

(1) Arrêté du 3 novembre 2014 relatif au contrôle interne des entreprises du secteur de la banque, des services de paiement et des services d’investissement soumises au contrôle de de l’Autorité de contrôle prudentiel et de résolution (ACPR).
(2) Code monétaire et financier, article L.311-1.
(5) Directive n°2015-2366 du 25-11-2015 concernant les services de paiement dans le marché intérieur.
(6) Ninon Renaud, « La banque en kit fait florès en Europe », Les Échos du 10-4-2017.