Intervention de Joan Burkovic

J'interviendrai également au nom de France Fintech, dont je suis l'un des représentants. Je souhaite revenir rapidement sur la genèse de cette directive. Elle est venue d'Allemagne. En effet, les Allemands utilisent très peu la carte bancaire, et beaucoup plus les espèces. Dès lors, l'achat sur internet est compliqué. Une start-up allemande a ainsi développé un outil pour payer sur internet avec un ordre de virement et une synchronisation utilisant les mêmes identifiants bancaires. Cette innovation a bousculé le secteur bancaire, puisque cette start-up faisait des virements bancaires depuis l'interface de la banque. Les banques ont entrepris des actions en justice, et ce sujet est remonté jusqu'à la Commission européenne. Cette dernière, au lieu de l'interdire, a voulu promouvoir cette innovation, tout en garantissant parallèlement la sécurité de ce nouveau service.

En 2011, en France, Bankin' était l'une des rares entreprises à proposer une consultation des comptes bancaires à partir d'un smartphone. Or, aujourd'hui, un peu plus de cinq millions de Français utilisent un service d'information sur leurs comptes. Pour les particuliers, il s'agit principalement d'une interface de gestion de leur argent. Toutefois, il y a beaucoup d'autres usages, notamment lorsque des entreprises ont besoin de récupérer les informations bancaires de leurs clients. C'est le cas notamment des comptables. Grâce à nos logiciels, la donnée arrive en temps réel dans un logiciel comptable, sans risque d'erreur et de fraude. De même, c'est une demande récurrente des acteurs du crédit. Grâce à ce système, on peut synchroniser les comptes, la donnée arrive instantanément dans le système bancaire et l'évaluation de la capacité d'endettement se fait immédiatement, sans risque d'erreur ou de fraude. Cela permet de répondre rapidement à la demande de crédit, et d'ouvrir l'accès au crédit à des personnes qui jusque-là en étaient privées. Enfin, notre technologie permet de faciliter la lutte contre le blanchiment, la fraude et le financement du terrorisme, en allant vérifier les informations directement sur les comptes.

Face à cette situation, la Commission européenne a profité des négociations autour de la directive DSP 2 sur les services de paiement pour y inclure les services d'information sur les comptes, même s'il ne s'agit pas tout à fait du même périmètre. C'est la raison pour laquelle nous nous retrouvons dans une situation où la directive ne concerne que les comptes de paiement, alors que 80 % des comptes connectés par les services d'information ne sont pas des comptes de paiement. Il s'agit de comptes d'épargne et de crédits. C'est logique, car lorsque l'on gère son argent, on gère l'ensemble de ses finances, et grâce à l'interface bancaire on souhaite consulter à la fois son compte courant, mais aussi son livret A, son assurance-vie et son crédit. D'ailleurs, lorsque les acteurs du crédit veulent évaluer la situation financière d'une personne demandant un crédit, ils ne regardent pas seulement les comptes de paiement, mais aussi le taux d'endettement et l'épargne.

On a en France la chance d'avoir des pépites françaises, des acteurs qui se font d'ailleurs racheter par le secteur bancaire, ou qui sont même créés directement par des banques en interne.

Les premiers utilisateurs de cette technologie sont les banques. Puis, viennent les comptables, les acteurs du crédit, les conseillers financiers, les banques privées, les acteurs du paiement et les consommateurs. Notre société propose d'ailleurs à nos clients de les mettre en relation avec un fournisseur de services financiers, par exemple pour renégocier leurs crédits. Si notre utilisateur réalise cette opération avec le courtier, nous sommes alors rémunérés en tant qu'apporteur d'affaires.

L'un des sujets clés est l'ouverture des donnés des comptes d'épargne et de crédit. Il s'agit d'une transformation mondiale et inévitable. Le monde est en train de se digitaliser. La directive DSP 2, en négociation depuis sept ans, pourrait être l'occasion de montrer l'exemple au monde ; sauf que le monde entier se rend compte que la directive a oublié 80 % des comptes. D'ailleurs, dans son esprit, la directive DSP 2 ne se limite pas uniquement au paiement. En effet, le considérant n° 28 précise que la directive doit permettre à l'utilisateur d'avoir une vue d'ensemble sur sa situation financière.

Je souhaite revenir rapidement sur la question des normes techniques. Pour les opérateurs de la fintech, la sécurité est un enjeu essentiel : sans sécurité, il n'y a pas de confiance, et sans confiance pas d'utilisateur. La directive DSP 2 indique que deux technologies peuvent être utilisées : l'accès direct ou les interfaces dédiées (API). Les deux technologies sont donc officialisées. D'ailleurs, aujourd'hui, seul l'accès direct est utilisé, puisque les API n'existent pas encore. Il n'y a aucune preuve - et les experts se sont penchés sur cette question - que l'accès direct soit moins sécurisé que les API. Nous sommes pour le développement des API, car il s'agit de la manière la plus stable de communiquer entre serveurs, à la condition que ces interfaces présentent les mêmes performances en termes d'accès aux données bancaires que l'accès direct. Je précise également que les différences de technologies entre accès direct et API n'ont rien à voir avec les questions de stockage d'identifiants bancaires. D'ailleurs, la directive encadre les acteurs manipulant les identifiants bancaires. C'est une obligation : on ne pourrait pas se connecter au compte du client si l'on n'avait pas accès à ces informations. Le texte est très clair, nous devons être agréés. Les acteurs, parce qu'ils manipulent des données sensibles, doivent être contrôlés. Et, en parallèle, la sécurité est renforcée, en généralisant l'authentification forte. Les acteurs de la fintech ont proposé d'amender l'ordonnance, afin d'y inclure l'ensemble des comptes connectés qui ne sont pas des comptes de paiement. Aujourd'hui, il est illogique de ne pas les inclure dans les chaînes de responsabilités. Des acteurs non agréés pourront avoir accès à ces informations, et en cas de problème sur les comptes de crédits et d'épargne, il n'y a aucune garantie réglementaire. Ce ne sont pas les assurances qui couvriront ce risque, mais directement le citoyen. En refusant d'inclure ces comptes, on nie aujourd'hui une réalité. Nous proposons ainsi une authentification systématique. Aujourd'hui, des acteurs peuvent se connecter de manière anonyme, sans que l'on sache s'ils sont agréés ou non.

Nous sommes également surpris par l'amendement visant à aller plus vite sur l'instauration de l'interface dédiée, alors qu'au niveau européen, tout un système se met en place afin de contrôler que les API répondront aux mêmes performances que l'accès direct. D'ailleurs, ces interfaces devront être testées par les acteurs du marché pendant une durée de six mois et validées par un comité, afin d'éviter d'imposer des API qui ne permettraient plus aux acteurs du marché d'avoir accès aux données dans les mêmes conditions. Nous avons proposé aux acteurs bancaires de participer à l'évaluation des API. On nous a fermé la porte. Si le protocole des API doit nous être imposé, nous souhaitons participer à son élaboration.