Guide de l’open banking:
Des éléments clés
à prendre en compte
avant de choisir un fournisseur
Le partage étendu de données et l’octroi de permissions sont au cœur même de l’open banking. Sans cela, ses nombreux avantages business ne pourraient pas exister. Cependant, cela comporte aussi des risques en matière de sécurité et de confidentialité qui préoccupent évidemment tout utilisateur.
L’argent et les données sensibles sont-ils en sécurité lorsque vous utilisez l’open banking ? Est-ce que l’open banking risque de donner un accès non autorisé aux comptes bancaires ?
Une réponse rapide : l’open banking offre une protection hermétique à tous les niveaux. Grâce à une combinaison puissante de réglementations strictes, de technologies avancées, du rôle essentiel des environnements sécurisés des banques et du contrôle du propriétaire du compte, l’open banking est aussi sûr que la banque traditionnelle.
Examinons à présent ce qui est en jeu et expliquons les mesures qui protègent les intérêts légitimes des utilisateurs de l’open banking.
Quels sont les enjeux ?
L’utilisation de l’open banking pour faciliter les services financiers, rationaliser les opérations et accéder à de nouvelles opportunités nécessite que les entreprises accordent à des parties tierces à toute une série d’informations. En fonction du service utilisé, cela peut inclure des détails de compte, des soldes, l’historique des transactions, les informations sur le titulaire du compte ainsi que d’autres données liées aux finances, aux investissements, au payroll, aux impôts et bien plus encore.
Accorder l’accès au compte à des tiers pertinents permet la vérification de l’identité, l’initiation de paiements, la surveillance de la trésorerie, l’évaluation du crédit et la conformité réglementaire. Des services tels que les logiciels comptables, le suivi des dépenses, le traitement de la paie et l’analyse financière dépendent du partage de données sensibles.
L’open banking dispose d’une gamme complète de mesures de sécurité
L’open banking est conçu à chaque moment pour permettre le bien tout en excluant le mal. Des protocoles stricts exécutés au moyen de technologies de pointe ajoutent des couches de sécurité les unes sur les autres. Et chaque tiers ayant le pouvoir d’extraire des données et d’influencer les transactions est soumis à une réglementation stricte.
Réglementation stricte et licences
L’open banking est un service strictement réglementé, avec des critères stricts concernant l’accès aux comptes bancaires pour obtenir des données et initier des paiements. On parle ici des aspects tels que la manière dont les propriétaires de comptes bancaires sont authentifiés, comment l’autorisation est obtenue, ainsi que la manière et le lieu de stockage des données et ce qui peut en être fait. Les données ne peuvent jamais être utilisées à d’autres fins que celles convenues avec le propriétaire, ni partagées avec d’autres parties sans consentement explicite. Les régulateurs surveillent également la conformité des fournisseurs de services de la banque ouverte avec le RGPD afin de protéger la vie privée des données.
Tout fournisseur de services souhaitant participer à l’open banking en accédant aux API des banques doit être agréé par sa banque centrale. (Cette licence est ensuite transférable vers d’autres pays.) L’obtention d’une licence open banking implique de satisfaire à de nombreuses exigences garantissant une protection étroite des comptes des clients. Outre les exigences de la Banque centrale, cela comprend des lignes directrices de l’Autorité bancaire européenne et éventuellement des règles d’autres régulateurs, tels qu’une autorité de la concurrence.
L’obtention d’une licence open banking oblige les fournisseurs de services à tenir des procédures de travail et des journaux de risques ainsi qu’à se soumettre à des audits et des tests de pénétration réalisés par des tiers. Pour conserver la licence, toutes ces vérifications doivent être effectuées au moins une fois par an, ainsi qu’à chaque déploiement de versions majeures.
En résumé, la réglementation open banking pour protéger les comptes des utilisateurs est extrêmement stricte. Tout fournisseur de services impliqué dans l’accès aux comptes et l’initiation de paiements doit démontrer à plusieurs reprises une conformité étanche avant de pouvoir mettre un pied à l’étrier.
Le rôle essentiel des environnements sécurisés des banques
Aucune transaction open banking ne peut avoir lieu sans passer par les environnements hautement sécurisés des banques concernées. Ces environnements, présents dans les applications mobiles et les solutions d’internet banking, délivrent les tokens de connexion permettant d’initier des transactions. L’approbation finale des utilisateurs ne peut être donnée qu’en accédant à leur compte bancaire via le canal bancaire.
Parmi la vaste gamme d’interactions réglementées qui font de l’open banking un dispositif si bénéfique, cette étape du processus signifie que la sécurité de niveau bancaire a toujours le dernier mot avant que les transactions n’aient lieu.
Technologie de pointe
Grâce à l’utilisation obligatoire de méthodes de chiffrement de pointe, de certificats et d’API sécurisées, la sécurité de l’open banking est entièrement garantie au niveau technique.
Toutes les données, qu’elles soient en transit (lorsqu’elles passent d’un système à un autre) ou au repos (lorsqu’elles sont stockées dans une base de données), sont cryptées à l’aide d’un chiffrement conforme aux normes de l’industrie. Les API ne peuvent être accessibles que par les parties disposant d’un certificat EIDAS valide délivré par un fournisseur de services de confiance qualifié (QTSP) et le consentement est obtenu à l’aide de l’OAUTH. L’authentification et l’autorisation sécurisées des clients (SCA) sont appliquées et toutes les interactions doivent être traçables.
Les utilisateurs gardent le contrôle
En plus de toutes les mesures de sécurité techniques visant à garantir la sécurité de l’open banking, la réglementation stipule également que les utilisateurs ont un contrôle important.
Avant qu’un tiers ne puisse accéder aux informations du compte, le propriétaire du compte doit donner explicitement son consentement. Ils peuvent restreindre le type de données partagées et limiter la durée d’accès du tiers. Les propriétaires de comptes peuvent également révoquer leur consentement à tout moment.
Protections contre la fraude
Bien que la l’open banking soit conçue pour être sûre, elle ne peut empêcher les tentatives de paiements frauduleux. Cependant, des mécanismes sont en place pour protéger les consommateurs et les entreprises en cas d’actions malveillantes.
Les fournisseurs de services open banking sont tenus de fournir des procédures appropriées de traitement des plaintes des clients. En cas de résultats insatisfaisants, il existe également un recours via un organisme de réglementation.
Parallèlement, les entreprises n’ont pas à s’inquiéter de la fraude liée aux rétrofacturations, l’open banking n’a pas de mécanisme de rétrofacturation.
L’open banking est sûr à tous égards
Grâce à une réglementation stricte et à de multiples couches de sécurité, l’open banking est aussi sûr que possible pour protéger l’argent et les données, tout en permettant des services commerciaux révolutionnaires.