mon argent

Êtes-vous prêt à partager des informations sur vos comptes bancaires?

©BELGA

Moyennant votre accord, votre banque peut désormais mettre les informations concernant vos comptes bancaires à la disposition de "tiers". Il peut s’agir de services de paiement ou d’apps comparant votre comportement d’épargne avec celui d’autres. Quelles sont les informations susceptibles d’être partagées?

PSD2. Vous pensez peut-être qu’il s’agit du nom d’un petit robot tiré d’un film de science fiction? Rien de tel. C’est le nom d’une directive européenne qui concerne toute personne titulaire d’un compte bancaire. Pour l’instant, le seul impact visible, c’est que vous pouvez intégrer votre compte à vue ouvert dans une banque A dans l’app de votre banque B. Mais d’autres services, non bancaires, sont également concernés. Depuis une semaine, grâce à PSD2, des tiers peuvent, à votre demande, accéder aux informations concernant vos comptes bancaires. Décodage de ce système.

Que signifie PSD2?

PSD2 est la directive européenne portant sur les paiements bancaires de consommateurs et d’entreprises. La directive est entrée en vigueur le 13 janvier 2018 et a été transposée la même année dans la législation belge. Il s’agit d’une version actualisée de la Paiement Services Directive 1 (PSD1), d’où son appellation PSD2. La date butoir pour l’entrée en vigueur de la loi a été fixée au 14 septembre dernier.

Un des objectifs de ces nouvelles règles consiste à sécuriser davantage les paiements. Par exemple, l’identification du client sera renforcée dans les magasins en ligne où les paiements s’effectuent par carte de crédit. Le numéro de la carte et le code cvc ne suffiront plus. Le paiement devra toujours être "signé" via un lecteur de carte ou un smartphone. Une période de transition est prévue pour permettre à toutes les entreprises de commerce en ligne de s’aligner sur ces nouvelles règles.

Mais le gros changement apporté par la nouvelle loi est la possibilité offerte aux consommateurs et aux entreprises d’ouvrir leurs données bancaires à des tiers. La banque sera alors obligée de partager ces données. L’objectif est d’ouvrir le marché aux nouveaux acteurs et de proposer d’autres services sur la base des informations fournies.

Quelles données pouvez-vous partager?

En Belgique, seules les informations sur les comptes à vue sont potentiellement partageables. Les informations sur les comptes d’épargne, comptes-titres et transactions par cartes de crédit ne peuvent donc être mises à disposition de tiers, même si le client est d’accord. En effet, seuls les "comptes de paiement" sont concernés par la directive européenne.

"Un compte de paiement est un compte via lequel le client peut recevoir et effectuer des paiements de ou vers des tiers, explique Isabelle Marchand, porte-parole de Febelfin, la fédération belge des banques. En Belgique, l’usage des comptes d’épargne réglementée est limité. Vous ne pouvez effectuer aucun paiement à partir de ces comptes et les transferts d’argent ne peuvent se faire que vers un de vos propres comptes. C’est pourquoi les comptes d’épargne ne sont pas concernés par la directive en Belgique. Chaque banque est libre de faciliter l’accès aux autres comptes, mais n’y est pas légalement obligée."

Par conséquent, les entreprises de fintech souhaitant proposer leurs services ne disposeront pas de toutes les données nécessaires pour avoir un aperçu complet de la situation financière d’une personne donnée.

De quelles informations les fournisseurs de services pourront-ils disposer?

Les fournisseurs de services auront accès au solde des comptes, pourront donner ordre à la banque d’effectuer en votre nom un paiement ou collecter des informations sur votre compte bancaire pour vous fournir un relevé. Il est important de savoir qu’il n’y a aucune obligation d’ouvrir ses données bancaires à des tiers. Ce ne sera possible que si le client en fait la demande explicite.

Quels services peut-on attendre?

Depuis quelque temps déjà, plusieurs banques offrent la possibilité d’intégrer dans leur application les comptes détenus dans d’autres institutions. Par exemple, depuis mars 2018, l’app bancaire mobile de KBC permet de consulter le solde des comptes ouverts dans d’autres banques. Depuis juin 2018, les clients peuvent également effectuer des paiements via cette app à partir de leurs comptes détenus dans d’autres institutions, notamment Argenta, Belfius, BNP Paribas Fortis (Hello Bank!), ING et AXA. D’autres banques suivront dès qu’elles seront prêtes sur le plan technique. "Si le client le demande, KBC peut accéder aux données de ces comptes pour les transmettre au client et éventuellement effectuer des paiements", explique Pieter Kussé, porte-parole de KBC.

Les clients de BNP Paribas Fortis peuvent également reprendre dans l’app BNPPF les comptes détenus dans d’autres banques. Ils peuvent consulter non seulement leur solde en temps réel, mais aussi l’historique de leurs transactions. Pour l’instant, seuls les comptes détenus chez ING et KBC peuvent être intégrés dans l’application de BNP Paribas Fortis.

Les clients de Belfius peuvent, s’ils le souhaitent, intégrer leur compte KBC dans leur app bancaire mobile. Ils peuvent consulter leur solde et effectuer des virements via cette app.

ING Belgique n’offre pas encore cette possibilité, car la banque travaille actuellement à l’élaboration d’une app commune pour les marchés belge et néerlandais. Il sera possible d’ajouter d’autres comptes dès qu’elle sera opérationnelle.

Services de tiers

Grâce à la directive PSD2, des entreprises non bancaires peuvent elles aussi proposer des services. Il peut s’agir de services d’information sur les comptes, comme dans le cas de sociétés fintech utilisant les informations sur votre compte pour déterminer votre profil financier au moyen d’outils d’analyse. Il est plus que probable qu’elles proposeront ensuite des applications pour vous aider à planifier votre budget sur la base des mouvements de vos comptes à vue. Elles pourront aussi proposer des apps qui compareront votre comportement d’épargne avec celui d’autres personnes aux revenus comparables.

En dehors des services d’information, des nouveaux venus peuvent aussi proposer des services de paiement. "Aujourd’hui, les possibilités de paiement d’achats en ligne se limitent généralement aux cartes de crédit et aux apps bancaires. PSD2 permet aussi à l’e-commerce de fonctionner avec des virements", explique Isabelle Marchand, de Febelfin. Les fournisseurs de services créeront une plate-forme qui permettra d’effectuer des virements sans devoir passer par l’app bancaire.

Ces services ne sont pas encore disponibles en Belgique, mais ce n’est qu’une question de temps, car plusieurs entreprises se préparent. Depuis le début de l’année, la Banque Nationale de Belgique (BNB) a déjà accordé huit nouvelles licences sur le marché.

Les banques se montrent d’ailleurs plutôt ouvertes aux collaborations avec des tiers. Par exemple, BNP Paribas Fortis soutient la start-up "Let’s Didid", qui a obtenu une licence de l’autorité de contrôle belge pour fournir des services d’information sur les comptes et des services d’initiation de paiement.

Comment donner votre accord pour "ouvrir" vos comptes à des tiers?

Vous pourrez donner votre accord à un prestataire de services d’initiation de paiement (PSIP) ou à un prestataire de services d’information sur les comptes (PSIC). Selon la directive PSD2 ces deux types de prestataires peuvent suivre la procédure de contrôle de votre banque, même s’il existe de légères différences de procédures entre les PSIP et les PSIC.

Différences de procédures entre les PSIP et les PSIC

→ Service d’initiation de paiement (PSIP)

Lorsque vous souhaitez effectuer un paiement, votre banque ou le PSIP commence par contrôler si vous êtes bien le titulaire du compte. Il vous demande une combinaison d’au moins deux des éléments suivants: un élément en votre possession (une carte bancaire, un digipass, un téléphone portable), une information que vous êtes seul à connaître (un code d’accès) et/ou une caractéristique biométrique (empreinte digitale, scan de l’iris).

Une fois votre identité vérifiée, un code unique lié à la transaction (montant, bénéficiaire) que vous souhaitez exécuter est généré. Ce code fonctionne uniquement pour ce montant ou un bénéficiaire spécifique. Grâce notamment à ces mesures de sécurité, le prestataire de services de paiement ne pourra effectuer aucune transaction sans votre autorisation.

→ Services d’information sur les comptes (PSIC)

La banque ou le PSIC vérifiera également si vous êtes le titulaire du compte en vous demandant de fournir au moins deux éléments, comme indiqué plus haut. La règle prévoit que le fournisseur d’information sur les comptes demande chaque jour votre autorisation pour utiliser vos données bancaires. La loi prévoit cependant une exception permettant à la banque de vous demander une autorisation pour 90 jours. "En tant que fédération sectorielle, nous n’avons aucun moyen de savoir quelle option sera choisie par les banques, poursuit Isabelle Marchand. Mais cette possibilité doit en principe faciliter et accélérer les choses."

Pouvez-vous retirer votre autorisation?

Si vous décidez de collaborer avec un PSIC, vous pourrez à tout moment révoquer votre accord. Pour des services d’initiation de paiement, vous autorisez une transaction donnée ou une série de paiements. Cette autorisation peut aussi être révoquée à tout moment. S’il s’agit d’une autorisation portant sur une série de paiements, aucun autre paiement ne pourra être effectué après le retrait de l’autorisation.

Comment savoir si un prestataire est fiable?

Pour proposer ces services, il faut disposer d’une licence. "Le prestataire doit introduire une demande de licence à l’autorité de contrôle du pays dans lequel son siège social est installé et peut offrir ses services dans les autres pays européens sous Passeport Européen, poursuit Isabelle Marchand. L’autorité de contrôle du pays d’origine devra en informer les autres autorités de contrôle. En Belgique, ce rôle a été confié à la BNB."

En cas de doute, les citoyens peuvent consulter le site internet de l’EBA (European Banking Authority), qui reprend la liste de tous les prestataires non financiers disposant d’une licence. Si le prestataire recherché n’est pas repris dans la liste, il vaut mieux l’éviter. La liste ne reprend pas les banques autorisées à fournir ces services. Cette liste est disponible sur le site internet de la BNB.

Qu’en est-il du respect de la vie privée des bénéficiaires de mes paiements?

Un PSIC ayant accès à vos informations de paiement aura également accès aux informations du bénéficiaire de vos paiements ou des personnes ayant effectué un virement en votre faveur. Ce n’est pas un problème s’il s’agit d’une entreprise. Mais s’il s’agit d’une personne physique, le PSIC devra respecter les règles en matière de respect de la vie privée.

Les tiers pourront-ils utiliser mes informations à d’autres fins?

Les prestataires ne pourront utiliser ces informations que pour vous les transmettre. Dans le cas contraire, ils devront demander votre autorisation. Il est dès lors recommandé de vous renseigner sur la portée exacte de l’autorisation qui vous est demandée.

Comment détecter le manque de fiabilité d’un prestataire?
  • L’app du prestataire doit être téléchargée en dehors d’un "app store" officiel.
  • Le prestataire n’indique pas clairement la portée de l’autorisation demandée.
  • Le site internet du prestataire ne contient aucune information de contact comme une adresse, un numéro de téléphone ou une adresse e-mail.
  • Les moteurs de recherche ne trouvent que peu ou pas d’informations sur ce prestataire lorsque vous lancez une recherche sur son nom.
  • Vous ne trouvez que peu ou pas d’évaluations de clients sur le prestataire ou son app.

Lire également

Publicité
Publicité

Echo Connect