Date de publication : 6 décembre 2017

L’agrégation de comptes bancaires est une méthode qui consiste à réunir dans une application web ou mobile les informations de tous les comptes bancaires d’un utilisateur, quels que soient les établissements dont il est client. Selon les applications, des services complémentaires – analyses, création de budget, conseil, etc. – sont aussi proposés. La plupart des plateformes d’agrégation de comptes sont développées et offertes par des fintechs, ces startups qui évoluent dans le secteur des technologies financières.

[Les agrégateurs de comptes, qu’est-ce que c’est ?]

Pour utiliser un agrégateur, il faut, en premier lieu, lui donner accès à vos données bancaires, pour qu’il puisse les compiler et les traiter.

Comment les agrégateurs de compte font-ils pour importer vos données ?

Il existe deux techniques pour importer vos données bancaires dans un agrégateur. La première, qu’on appelle web scraping, est utilisée aujourd’hui par la plupart des agrégateurs. Elle consiste à donner au service un accès direct aux données de votre compte.

Comment fonctionne le web-scraping ?

  1. Vous sélectionnez la banque où est domicilié le compte que vous voulez connecter.
  2. Vous saisissez votre identifiant et votre mot de passe.
  3. Le système récupère les données directement sur le site de votre banque. 

La deuxième technique implique le recours à des API (Application Programming Interfaces). Ce sont des interfaces que les banques déploient et où elles stockent une copie des données de leurs clients. Les agrégateurs peuvent ensuite se connecter à ces API, afin d’accéder aux données dont elles ont besoin. Il n’est donc plus nécessaire que l’utilisateur communique son identifiant et son mot de passe. 

Cette solution n’est presque pas utilisée aujourd’hui, car il n’y a que très peu de banques qui mettent des API à disposition. En effet, à de rares exceptions près (Hypovereinsbank, BBVA…), les banques se refusent à jouer le jeu des API, craignant d’offrir à leurs clients trop de transparence sur leurs prestations et leurs coûts, et de favoriser le développement de services concurrents. En outre, elles ne veulent pas risquer de perdre la relation avec leurs clients et de se voir à terme cantonnées à un simple rôle de prestataire technique.

Que dit la réglementation ?

En 2015, le Parlement européen adopte la DSP2 (Directive sur les Services de Paiement 2), qui vise à encadrer les nouveaux acteurs du secteur du paiement, notamment les services d’agrégation de comptes et d’initiation de paiement. C’est cette directive, dont la mise en œuvre est prévue pour début 2018, qui doit décider du sort des techniques d’obtention des données des comptes courants. Une guerre de lobbying, opposant banques traditionnelles et fintechs, s’enclenche alors.
Les banques traditionnelles, à travers l’EBA (Autorité Européenne de Banques), militent pour l’interdiction du web-scraping qui donnerait trop de pouvoir aux fintechs à leur goût, tandis que les fintechs, avec le soutien de la Commission Européenne, demandent à poursuivre leurs activités à l’aide de techniques qui leur permettent de répondre aux besoins de leurs clients, ainsi que d’anticiper les besoins futurs.
Lundi 21 novembre 2017, publication des normes techniques de la DSP2, Bruxelles tranche : les banques devront fournir des API, qui seront testées par les fintechs pendant six mois. Si les tests sont concluants, les agrégateurs devront forcément passer par ces API. En revanche, si les performances des API ne sont pas suffisantes, le recours au webscraping sera toujours autorisé.

agrégateur bancaire épargne

Quelles sont les implications de cette réglementation pour la sécurité des données ?

Prenons l’exemple de WeSave Conseil*. L’agrégateur d’épargne éducatif développé par WeSave utilise la technique du web-scraping pour importer les données bancaires des utilisateurs et les traiter. Le stockage des données des utilisateurs de WeSave Conseil respecte les exigences de la CNIL en termes de confidentialité. En termes de sécurité, les données sont chiffrées et stockées sur des serveurs situés en Europe, et les échanges sont effectués avec un niveau de sécurité bancaire. En outre, les serveurs utilisés pour la collecte des données sont régulièrement audités par des experts financiers et informatiques. Ainsi, WeSave Conseil et les agrégateurs de son ordre appliquent déjà les mêmes standards de sécurité que les plus grandes banques internationales. Que la technique d’obtention de données utilisée soit fournie par une banque ou non ne change donc rien au tableau.
En revanche, si cette décision européenne est particulièrement intéressante, c’est parce qu’elle met l’intérêt du client final au centre des préoccupations. Elle oblige les banques et les fintechs à travailler en bonne intelligence pour co-construire l’avenir de l’agrégation de comptes et des services financiers qui y sont liés. On pourrait voir là une initiative qui favoriserait l’innovation dans ce secteur, ce qui serait bien évidemment bénéfique au consommateur.
 
*WeSave Conseil est déjà disponible en bêta pour les clients WeSave. Pour les autres, une waiting list est accessible depuis conseil.wesave.fr.

Agrégateurs de compte : comment ça marche ?

Anna-Cécilia Pouliquen
Anna-Cécilia Pouliquen

Responsable communication et content marketing chez WeSave

Category: ÉclaireurÉclaireur Décembre 2017WeSave au quotidien