Faciliter la libre-circulation des données informatiques et doper l'innovation, tel est l'objectif de la directive européenne révisée sur les moyens de paiement "DSP2" (1), dont l'entrée en vigueur est prévue le 13 janvier 2018. Grace à ce nouveau texte, la Commission européenne autorise les sociétés financières et technologiques (fintech) à récupérer en toute régularité les informations clients stockées par les banques. Ce sujet est loin d'être neutre pour l'activité des conseillers en gestion de patrimoine qui recourent couramment aux services de fintech d'agrégation. Parallèlement, le Parlement européen a adopté en avril 2016, le règlement général des données personnelles (RGPD), applicable dès le 25 mai 2018 (2). De portée générale, ce texte a vocation à sécuriser les informations sensibles échangées entre les différents acteurs européens, dont ceux concernés par la DSP2. D'ici la fin de l'année, établissements financiers et fintech vont devoir s'adapter à ce nouvel environnement réglementaire et trouver un terrain d'entente sur l'application de ces textes.

Régularisation de l’activité des fintech. L’émergence de nouveaux acteurs et produits financiers a rendu le cadre de la DSP1 obsolète. Les derniers entrants sur le marché – tels que les acteurs proposant des services d'agrégation et d'initiation de paiement – échappaient de fait à la réglementation de la Commission européenne et officiaient dans un certain flou. Entre autres dispositions, la DSP2 donne un cadre réglementaire à deux types d’acteurs : les services d'information sur les comptes (PSIC), autrement dit les agrégateurs, et les services d'initiation de paiements (DSIP), dont le rôle est de présenter au nom de l'utilisateur un ordre de paiement à exécuter par la banque gestionnaire du compte. Joan Burkovic, co-fondateur de l’agrégateur Bankin’, attendait ce texte : « A partir de 2018, nous obtiendrons un statut officiel et régulé d’établissement de paiement qui nous donnera toute légitimité pour intervenir sur le marché des services de paiement ». Ces nouveaux prestataires seront dès le 13 janvier 2018 placés sous la tutelle de l’Autorité de contrôle prudentiel et de résolution et de la Banque de France. Ils devront donc respecter un ensemble spécifique de règles prudentielles pour pouvoir obtenir leur enregistrement auprès des autorités.

Le web-scraping sur la sellette. Pour exercer, ces opérateurs ont besoin d’accéder aux données personnelles de leurs utilisateurs. En l’état actuel, les données sont récupérées – avec l’accord du client – grâce à la méthode du web-scraping, selon laquelle les agrégateurs accèdent aux comptes bancaires de l’usager avec ses codes d’accès et se font passer pour lui auprès de la banque. Une technique risquée pour l'usager "puisqu'en cas de fraude, la banque se décharge de toute responsabilité envers le client qui a communiqué volontairement ses identifiants de connexion" avertit Pierre Guérin, ‎managing consultant, Investance Partners. A compter de janvier, celles-ci auront l’obligation d’ouvrir leurs bases de données aux tiers agréés. L’enjeu est crucial pour elles, qui souhaitent conserver la main sur ces informations stratégiques. Pour sécuriser ces échanges, DSP2 impose aux banques la création d’API, interfaces interopérables. Techniquement, « il s’agit d’un protocole de communication entre deux serveurs pour récupérer des données confidentielles détenues par les banques. En tant que fintech, nous sommes très favorables à cette connexion, mais nous savons d’avance que certaines banques n’ont aucun intérêt à mettre en place des interfaces de qualité », regrette Joan Burkovic. Dans cette hypothèse, les agrégateurs souhaitent aussi conserver le web-scraping comme alternative aux API.

Résistance des fintech. Le maintien du web-scraping est d’autant plus crucial que la directive encadre uniquement les comptes de paiement, dont les données devront à présent transiter par une API. Or, les agrégateurs craignent que les banques ne fournissent que les informations propres aux comptes de particuliers et qu’elles retiennent les données relatives aux comptes d’épargne. Une situation cataclysmique pour les fintech, dont les données d’épargne représentent près de 80 % des informations agrégées. Joan Burkovic annonce que « si le scénario devait se réaliser, nous pourrons continuer à utiliser le web-scraping sécurisé pour récupérer ces données car celles-ci appartiennent au client final et ne sont pas concernées par la DSP2 ». La Commission a confirmé que les comptes non régulés par la directive resteraient accessibles au web-scraping, à défaut d’être intégrés dans les API. Il n'en fallait pas moins pour provoquer l'ire des banquiers européens. Frédéric Oudéa, président, de la Fédération bancaire européenne (FBE) a adressé le 31 juillet 2017 un courrier aux autorités européennes pour exiger l'interdiction totale du web-scraping et le report de la DSP2. D'après le patron du lobby européen, cette méthode menace la cybersécurité et la confidentialité des données manipulées, insistant au passage sur les sérieuses failles sécuritaires des systèmes tiers. Une position largement soutenue par l'Autorité bancaire européenne (ABE), d'ailleurs habilitée par la Commission pour élaborer les projets de normes techniques - autrement dit les conditions de mises en œuvre – de la DSP2.

Blocage institutionnel. Inutile de préciser que les standards techniques et réglementaires (RTS), présentés par l’ABE le 23 février, plaident en faveur des banques et de la suppression du web-scraping. Bien que la Commission – favorable aux fintech – ait demandé au lobby européen d’infléchir sa position, celui-ci tient bon et emporte avec lui les suffrages de nombreux Etats membres. Le texte des RTS, qui devait être soumis au vote du Parlement à l’automne 2018, est bloqué. Ce qui laisse craindre une période de vide juridique, puisqu’à compter de l’adoption des normes d’application les banques auront 18 mois pour se mettre en conformité avec les API, alors même que la directive sera applicable dès janvier 2018. D’où la proposition de Frédéric Oudéa de repousser l’application de la DSP2 d’un an et demi pour coïncider avec l’entrée en vigueur des nouveaux standards. La France a quant à elle publié le 9 août dernier l’ordonnance de transposition de la DSP2 (3). Dans la continuité de la directive, le Parlement européen a adopté le 27 avril 2016 un règlement renforçant le contrôle des citoyens de l’Union sur leurs données et uniformisant les législations nationales en la matière, le RGPD.

Restituer la maîtrise des données à leurs titulaires. Ce règlement réaffirme que n’importe quelle société qui opère un traitement de données portant sur un ressortissant de l’Union doit respecter la réglementation européenne sur la protection des données. « C’est une vraie révolution car jusqu’alors les GAFA se lavaient les mains de la législation communautaire », se réjouit Stéphane Astier, avocat, HAAS & Associés. Autre point, aucun traitement de données ne peut être réalisé sans l’accord préalable et express du titulaire. Quant au transfert de données en dehors de l’Union, celui-ci est autorisé à titre exceptionnel et sous conditions.

Champ d’application. Ce texte concerne l’ensemble des traitements de données personnelles portant sur des ressortissants européens ou des opérateurs de l’Union. Transposé dans le domaine du patrimoine, il concerne directement « les CGP qui collectent sur leurs clients ou prospects des données personnelles. Quant à ceux qui utilisent des agrégateurs, la Commission nationale informatique et liberté (CNIL) a, dès 2011, alerté sur les risques que présentent ces fintech. Utiliser de tels services impose aux CGP de garantir la sécurité des données personnelles », préviennent Bernard Rineau, avocat, et Julien Marcel, juriste, du cabinet Rineau & Associés.

Mise en conformité. Les sociétés concernées doivent instituer de nouvelles procédures internes pour atteindre les standards de sécurité fixés par le texte. Selon ces nouvelles normes, les entités ont l’obligation d’établir un fichier répertoriant l’intégralité des traitements réalisés et d’en assurer la mise à jour régulière – une obligation valable pour les entreprises et pour leurs sous-traitants. « Indubitablement, ces mesures vont nécessiter une coopération transverse. Ce sont quasiment toutes les directions des entreprises qui vont devoir s’impliquer », relève Alexandre Péron, Legal counsel, Banque Française Mutualiste.

Analyse d'impact. A l'ère du RGPD, l'analyse d'impact devient obligatoire lors de la conception du traitement. Autrement dit l'entreprise doit cartographier, dès la phase de développement, les risques potentiels pour la protection des données. Si pendant la mise en œuvre du traitement, le risque de perte ou de fuite des données se réalise, le responsable des traitements doit impérativement remonter l'information aux autorités dans les 72 heures de l'apparition de l'incident. A noter, que le règlement généralise cette obligation à tous les acteurs manipulant des données sensibles. Elle était auparavant imposée aux seuls opérateurs en télécommunications.

Désignation d'un DPD. Les entreprises pourront compter sur le contrôle du délégué à la protection des données (DPD), nouvellement institué par le RGPD. Stéphane Astier compare ce statut à celui de "commissaire aux comptes de la donnée", un superviseur qui contrôle en toute indépendance la conformité juridique des traitements et qui en cas de défaillance engagera sa responsabilité pénale. D'expérience, l'avocat estime "qu'il est préférable d'externaliser la fonction de DPD. Le règlement exigeant un acteur indépendant, le DPD n'est pas facile à trouver dans l'organigramme interne. De plus, un expert extérieur apporte avec lui sa responsabilité civile professionnelle – qui est une forme de réassurance – et dispose de l'autorité nécessaire pour imposer aux directions le respect de la réglementation".

Co-responsabilité des sous-traitants. Le RGPD introduit un partage de responsabilité entre le commanditaire et son sous-traitant sur le traitement d'une même information. Le contrat de sous-traitance "devra définir de manière transparente les obligations respectives des parties en matière de protection des données, ce qui suppose une formalisation précise du contrat", prévient Stéphane Astier. "Une mesure qui doit inciter les entreprises à être vigilantes sur le choix de leurs sous-traitants et à s'assurer que ces derniers présentent des garanties suffisantes pour traiter de données sensibles" souligne Alexandre Péron. Une précaution d'autant plus importante que le RGPD donne davantage de latitude aux autorités pour sanctionner les contrevenants. La CNIL peut désormais prononcer des sanctions pouvant aller jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial.

Anticipation. Bernard Rineau constate que "les dirigeants d'entreprises n'ont pas pris la mesure des obligations que fait peser sur eux le RGPD. La plupart d'entre eux ne seront pas en conformité d'ici le 25 mai 2018". L'avocat ajoute que "les retardataires ne pourront compter sur aucune mansuétude de la CNIL, comme en témoignent les déclarations de sa présidente". Sans compter que la fabrique réglementaire tourne à plein régime. Courant septembre, la Commission européenne a adopté plusieurs propositions pour compléter le RGPD. Des propositions reprises, le 29 septembre dernier lors du Sommet numérique tenu à Tallinn, pour lancer les discussions autour de la création "d'un marché unique des données". De manière plus immédiate, un second "Règlement sur la vie privée et les communications électroniques", publié le 17 janvier 2017, entrera également en vigueur le 25 mai prochain.

(1) Directive n°2015/2366 du 25/11/15
(2) Règlement n°2016/679 du 27/04/16
(3) Ordonnance n°2017-1252 du 9/08/17