16 janvier 2018

« Banque, ouvre-toi »

BSSI_GDPR

Introduction

Nous connaissons tous cette phrase culte d’origine persane : « Sésame ouvre-toi ». Dans notre conscience collective, cette phrase symbolise la clé pour ouvrir la caverne aux trésors d’Ali Baba. Cet article a pour but de présenter une réflexion sur l’ouverture des banques afin de bénéficier de leur trésor caché.

Effectivement, cela peut faire peur aux consommateurs que nous sommes, mais rassurez-vous, « une banque ouverte » ne signifie pas du tout un accès pour tout le monde ou une perte de confidentialité de nos données sensibles. L’ouverture des banques sera favorisée par deux réglementations européennes que sont la DSP-2 et la RGPD. C’est l’objet de notre article où nous tenterons de donner les points essentiels ainsi que les standards d’implémentation de ces deux règlements applicables à toute entreprise traitant des transactions bancaires des citoyens européens.

 

DSP-2 et RGPD : c’est quoi ?

Sous ces acronymes se cachent deux réglementations qui doivent entrer en vigueur en 2018 :

  • La DSP-2 (Directive sur les Services de Paiement II) est la Directive (EU) 2015/2366 de novembre 2015 entrant en vigueur le 13 janvier 2018.
  • Le RGPD (Règlement Général sur la Protection des Données) est le Règlement (EU) 2016/679 d’avril 2016 entrant en vigueur le 25 mai 2018.

Ces deux lois s’appliquent aux banques même si la DSP-2 est réservée aux services de paiements tandis que le RGPD concerne tout type d’organisations ou d’entreprises :

BSSI_DSP-2

BSSI_RGPD

 

Conséquences pour les banques

Pour les banques et établissements financiers, ces deux réglementations complémentaires constituent des plateformes juridiques pour :

  • Harmoniser et fixer des règles exhaustives et transparentes pour rendre le paiement digital aussi facile, efficace et sûr sur tout l’espace européen ;
  • Ouvrir le marché bancaire à de nouveaux acteurs, comme les Fintech, les Fournisseurs de Services Tiers (FST)[i] pour favoriser la concurrence, et ainsi permettre plus de choix, plus de services avec des prix plus attractifs et plus justes ;
  • Consolider l’espace unique de paiements en euros (SEPA – Single Euro Payments Area).

 

Points clés de la DSP-2 et du RGPD

Exigences de sécurité pour les établissements financiers (DSP-2 & RGPD)

  • Compatibilité avec les standards de sécurité ISO 2700x, PCI-DSS, NIST, EVM, etc.
  • Politique de sécurité basée sur une analyse détaillée des risques,
  • Surveillance, contrôle, sauvegarde & résilience,
  • Authentification forte des clients,
  • Notification d’incidents majeurs.

 

Renforcement de l’Autorité Bancaire Européenne – ABE (DSP-2)

  • Gestion des agréments des établissements de paiements,
  • Création d’un registre central gratuit des établissements de paiements agréés tenus à jour par les autorités nationales,
  • Autorité d’escalade pour la résolution de différends entre les autorités nationales,
  • Conception des standards et spécifications techniques pour la directive[ii] : ce sont les RTS (Regulatory Technical Standards) & les ITS (Implementing Technical Standards),
  • Développement de la coopération et l’échange d’informations entre les autorités locales.

 

Renforcement des droits des consommateurs (RGPD)

  • Consentement explicite et consciencieux du consommateur avant l’accès et l’utilisation des données par des tiers (cela s’implémente au moyen de l’authentification forte),
  • Révocabilité du consentement et « droit à l’oubli » (effacement des données),
  • Responsabilité limitée en cas de paiements frauduleux avec une franchisse passant à 50 € au lieu de 150 €,
  • Droit au remboursement inconditionnel,
  • Suppression des frais en cas d’utilisation d’une carte de débit ou de crédit.

 

Solution technique d’implémentation

Comme exposé par l’Open Banking Standard[iii], la DSP-2 et le RGPD exigent la mise en place d’une infrastructure standardisée, évolutive, flexible, modulaire, robuste et sécurisée.

Afin de répondre à ces exigences, la technologie Web est utilisée et plus particulièrement les API REST ou SOAP sur le protocole HTTPS. Actuellement, les banques utilisent des gestionnaires d’API ou des ESB (Enterprise Service Bus)[iv] par exemple IBM ESB, Axway API Manager, Mulesoft et WSO-2.

 

Conclusion

Comme nous l’avons vu, la DSP-2 et le RGPD rendent possible la formule « banque, ouvre-toi » avec l’adoption de protocoles et d’architectures ouverts et standardisés. Avec ces deux lois, le consommateur garde le contrôle ses données bancaires avec « Banque, ferme-toi ».

[i] Comme FST, on peut citer les fournisseurs d’initiation de paiement et les fournisseurs de services d’informations sur les comptes

[ii] Voir https://www.eba.europa.eu/regulation-and-policy/payment-services-and-electronic-money

[iii] Voir le rapport de 2016 disponible à l’URL https://theodi.org/open-banking-standard

[iv] Voir https://en.wikipedia.org/wiki/Enterprise_service_bus

 

Oumar Diao

Oumar Diao :
Consultant BSSI

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *