La FBE demande à la Commission européenne de mettre un terme au screen scraping

16/05/2017

La Fédération bancaire européenne (FBE) a lancé une campagne visant à mettre un terme à la technique du screen scraping.

Cette technique a pour effet de permettre que, lorsqu’un consommateur achète un produit ou un service en ligne et confie son paiement à une tierce partie, certains de ces « third party providers » reçoivent, au nom du client, un accès total à son compte bancaire. Dans une recommandation, l’Autorité bancaire européenne (ABE) s'est déjà prononcée contre le screen scraping.

La FBE considère à juste titre que cette technique augmente le risque de cyberincidents et complique la protection du consommateur et de sa vie privée.

En quoi consiste le screen scraping ?

Lorsque vous achetez un produit ou un service en ligne, vous pouvez payer directement via les canaux bancaires habituels. Mais vous pouvez aussi choisir de passer par une tierce partie pour effectuer votre paiement.

Certaines de ces tierces parties demandent vos codes d'accès et s’en servent pour se connecter à votre banque afin de faire effectuer le paiement. Cette tierce partie se fait en quelque sorte passer pour vous et accède ainsi à toutes les données de votre compte en banque.

La vidéo réalisée par la FBE explique clairement ce principe (cliquez sur l'image) : 

Screen scraping et PSD2

En janvier 2018 entrera en vigueur la deuxième directive européenne relative aux services de paiement, mieux connue sous le nom de PSD2. Cette directive précise notamment que les banques doivent partager avec des tierces parties les données relatives aux paiements du client lorsque celles-ci le demandent.

Afin de permettre la mise en œuvre des modifications prévues par la PSD2, l’ABE a élaboré un ensemble de normes réglementaires et techniques, les Regulatory Technical Standards (RTS). Dans sa dernière proposition, l’ABE a demandé à la Commission européenne de mettre un terme au screen scraping.

Selon la solution proposée par l’ABE, les tierces parties continueraient à pouvoir accéder au compte bancaire du client au nom de ce dernier, mais les banques créeraient à cet effet une interface distincte. Une telle interface serait beaucoup plus sûre et rendrait inutile la technique du screen scraping.

D’une manière générale, le secteur bancaire est plutôt favorable à la directive PSD2 et à l’accès des tierces parties aux données relatives aux paiements. Cependant, cet accès doit toujours privilégier l’intérêt du client et être soumis à son consentement, et la sécurité des paiements doit pouvoir être garantie à tout moment et en toutes circonstances.

Plus sur: