PSD2, c’est la nouvelle directive qui fait en quelque sorte tomber la muraille de Chine séparant banques et sociétés tierces en matière d’accès aux données bancaires. Traditionnellement, les banques pouvaient seules contrôler l’accès aux données de leurs clients. Désormais, de multiples entreprises tierces souhaitent également exploiter ces données afin de pouvoir proposer de nouveaux services, plus rapides à moindres coûts, à leurs clients. Start-up actives dans les paiements en ligne ou plateformes offrant des services de finance personnelle, toutes sortes de nouveaux acteurs souhaitent avoir un accès direct aux données bancaires des clients.

Entrée en vigueur le 13 janvier, la nouvelle mouture de la directive européenne sur les services de paiements PSD2 (ou «DSP2» en français) obligerait en effet les banques d’ouvrir l’accès à leurs données clients (s’ils l’acceptent) à des prestataires tiers. Même si elle ne s’applique que dans l’UE et les pays de l’EEE – et ne concerne donc pas directement la Suisse -, sa récente entrée en vigueur affecte aussi les banques helvétiques, en particulier celles qui ont des filiales en Europe.

L’an dernier déjà, l’Association suisse des banquiers (ASB) s’était opposée à l’idée de la mise en place d’une réglementation similaire en Suisse. Contacté récemment par Allnews.ch à ce sujet, Rolf Brüggemann, responsable Tax, Legal & Compliance et Regulatory à l’Association suisse des banquiers (Swissbanking), réaffirme son credo: «Les banques sont d’importants investisseurs dans les solutions fintech et travaillent de surcroît étroitement avec des start-up et des fournisseurs de solutions de diverses catégories. Elles accordent aussi à des prestataires tiers l’accès à des comptes et ouvrent l’interface client, si c’est dans l’intérêt à la fois de la banque et des clients», juge l’expert. Selon lui, l’obligation d’ouvrir cette interface par voie de contrainte réglementaire serait «une intervention inutile dans un marché qui fonctionne et conduirait à une distorsion de concurrence au détriment des banques».

Il souligne aussi les aspects liés à la sécurité des données des clients, à la fois d’un point de vue technique et sur le plan de la protection des données. Selon lui, «une ouverture forcée imposée par l’Etat est dangereuse, car des principes de sécurité spécifiques au secteur bancaire ne pourraient pas être entièrement pris en compte, créant ainsi des failles en matière de sécurité».

Et qu’en pensent les start-up financières? Swiss Finance Startups (SFS), l’association qui représente les jeunes pousses de la finance en Suisse, ne rue certes pas dans les brancards mais pose ses exigences. L’association admet que l’adoption en Suisse d’une réglementation similaire à PSD2 serait «prématurée», estimant qu’il vaut mieux attendre «la mise en œuvre concrète» de cette directive dans l’UE plutôt que de se précipiter.»

Néanmoins, SFS appelle les parties intéressées à jeter ensemble «les bases pour des solutions d’open banking conformes à l’économie de marché», de sorte que la place financière suisse «ne rate pas le train» de l’évolution en cours dans le secteur financier. Sascha Krüsi, co-fondateur de la start-up customweb spécialisée dans le conseil pour les solutions de paiement électronique, analyse soigneusement les avantages et les inconvénients pour la place financière suisse de ne pas être soumise à la directive PSD2. D’un côté, il estime que la réglementation européenne impose «des limites étroites en raison du corset réglementaire dans l’UE». Selon lui, la réglementation suisse est sur ce plan plus ouverte et elle offre plus d’espace pour l’innovation. Il cite l’exemple du principe du terrain de jeu («sandbox») accordé aux start-up.

C’est encore loin d’être le cas: «Actuellement, on observe la mise en place des solutions organisées sous forme de silos en Suisse, ce qui fait que les banques peuvent décider d’accorder un accès à seulement quelques acteurs spécifiques qui leur conviennent, sélectionnés d’après des critères arbitraires», déplore-t-il. Selon lui, il sera bientôt absolument normal en Europe pour un client d’avoir accès à son compte via d’autres applications. «Si les banques ne participent pas à cette évolution liée à la numérisation, elles risquent de se retrouver à la traîne», avertit-il.

D’un point de vue technique, les avis divergent aussi à propos du protocole EBICS (Electronic Banking Internet Communication Standard), une interface qui permet déjà d’échanger des données entre banques et sociétés tierces. L’ASB en vante les mérites: «EBICS est un processus standardisé et en principe accessible à tous. C’est une interface ouverte avec laquelle les données doivent être mises à disposition chaque jour et dans le format souhaité par l’institut financier», explique Rolf Brüggemann.

Moins d’enthousiasme du côté des start-up financières: «EBICS est un protocole relativement vieux d’un point de vue technique», estime Sascha Krüsi. Beaucoup de banques l’utilisent avant tout pour les affaires bancaires réalisées avec de grandes entreprises disposant de l’infrastructure nécessaire (systèmes ERP, etc.). A ses yeux, l’avenir se trouve plutôt dans de nouvelles interfaces bancaires («APIs») comme celles utilisées par la Sterling Bank ou Revolut. Ces sociétés emploient les interfaces modernes de type REST, avec lesquelles il est aisé d’administrer un accès de le mettre à disposition à des tiers, puis de le retirer à nouveau - comme c’est le cas habituellement au cours des procédures de login chez Facebook ou Google, illustre-t-il.