Les agrégateurs de comptes bancaires sont-ils sécurisés et dignes de confiance ?

Les agrégateurs de comptes fournissent un service intéressant pour le pilotage des comptes bancaires. Et l’Union européenne veille à ce que les données fournies par les utilisateurs soient utilisées à bon escient par les professionnels.

Un service qui facilite la gestion des comptes

Avant toute chose, il est essentiel de rappeler le fonctionnement des agrégateurs de comptes. Ils permettent au sein d’une même application de réunir des comptes (épargnes et de dépôt) issus de différentes banques et d’en voir les soldes ainsi que les opérations de débit et de crédit. Actuellement, cette fonctionnalité est proposée par un grand nombre d’acteurs. En effet, beaucoup de banques offrent la possibilité aux utilisateurs de rapatrier leurs informations bancaires externes au sein de leurs applicatifs.

Mais si les établissements bancaires traditionnels ainsi que les banques en ligne proposent déjà ce service, les fintech, ces sociétés novatrices qui implémentent la technologie au sein de la finance, surfent également sur ce créneau. Et le nombre d’acteurs de ce type à proposer un système d’agrégation ne cesse de croître. La législation européenne a d’ailleurs fait en sorte de mettre en place, via l’instauration de la directive sur les services de paiements 2 (DSP2), un ensemble de mesures destinées à favoriser le développement de nouveaux services et l’entrée sur le marché de nouveaux concurrents.

L’Europe se dote d’une réglementation forte avec la RGPD et la DSP2

Mais est-il judicieux de confier ses informations et identifiants sensibles au sein des agrégateurs de comptes, malgré le confort qu’ils offrent ? Concrètement, la DSP2 ordonne aux établissements bancaires de créer des passerelles destinées à assurer le transfert d’informations en toute sécurité vers les acteurs qui proposent un service d’agrégation.

De plus, les agrégateurs doivent s’assurer que leurs systèmes de confidentialité répondent à une identification forte. Les moyens à envisager sont multiples, mais tous devront proposer, en plus de rentrer les identifiants habituels, une reconnaissance par biométrie ou par la réception d’un code sur mobile par exemple.

Et les acteurs ont tout intérêt de se mettre à la page puisqu’ils ont jusqu’au 14 septembre pour développer les outils technologiques adaptés. Même si le risque zéro en matière de piratage n’existe pas, les normes de sécurité sont donc relativement drastiques et les parties prenantes à cette fonctionnalité ont cette obligation de protéger au mieux les données de leurs utilisateurs. L’Europe dispose d’un arsenal de sanctions dissuasives qu’elle peut infliger en cas de manquement grave, notamment avec la réglementation de la RGPD. Et au-delà des amendes, une mauvaise utilisation de données peut conduire à un coup de communication dévastateur auprès du grand public.


var Tawk_API=Tawk_API||{}, Tawk_LoadStart=new Date(); (function(){ var s1=document.createElement("script"),s0=document.getElementsByTagName("script")[0]; s1.async=true; s1.src='https://embed.tawk.to/5e44e1ec298c395d1ce7b0be/default'; s1.charset='UTF-8'; s1.setAttribute('crossorigin','*'); s0.parentNode.insertBefore(s1,s0); })();