L'objet du litige est bien connu : selon le texte proposé, les banques auraient l'obligation de mettre à disposition des établissements de paiement – dûment accrédités – un certain nombre d'informations sur les comptes de leurs clients (par exemple la disponibilité des fonds nécessaires à l'exécution d'une opération), sur demande de ces derniers. Naturellement, il est facile de comprendre la nervosité des banques à ouvrir ainsi au monde extérieur le « trésor » que constituent les données de leurs clients.
D'une part, il s'agit d'une vraie brèche ouverte dans leur monopole, alors qu'elles possèdent aujourd'hui un avantage exclusif, notamment dans la gestion de moyens de paiement autres que la carte bancaire (dont les virements). Par ailleurs, la mise en œuvre de dispositifs offrant un accès aux comptes des clients est plus ou moins « contre nature » dans un secteur qui, historiquement, cultive le secret et l'opacité. Enfin, accessoirement (ou pas ?), tout cela représentera une charge nette pour les banques.
Cependant, les institutions financières ne peuvent admettre trop clairement qu'elles souhaitent protéger leur pré carré ni, pire encore, qu'elles pourraient avoir des difficultés techniques à répondre à ces exigences réglementaires additionnelles. Alors, par la voix de la FBF (Fédération Bancaire Française), elles affirment accueillir la concurrence à bras ouvert mais craindre pour la sécurité des données qu'elles devront partager. Voilà le prétexte imparable, qui justifie de se méfier de tout, de la technologie, des nouveaux entrants, des idées originales…
La stratégie « FUD » (« Fear, Uncertainty and Doubt ») déployée ici est classique, et, comme toujours, elle n'est soutenue par aucune réalité. Non seulement la directive DSP2 inclut les garde-fous nécessaires pour protéger l'argent des consommateurs, mais, de plus, les données concernées ne sont pas les plus sensibles. En réalité, s'il existe effectivement un risque de sécurité, c'est peut-être plutôt du côté des systèmes des banques qu'il sera le plus critique, en raison de leur nouvelle ouverture sur l'extérieur.
Finalement, là réside probablement la véritable raison du rejet de la directive, effrayante par la responsabilité qu'elle fait porter sur des établissements incapables de se projeter dans le monde moderne où règnent la collaboration et le partage d'information. Qu'adviendra-t-il donc quand la réglementation leur imposera de mettre des APIs à disposition des développeurs (comme l'envisage le Royaume-Uni) au lieu de faire comme si les outils de PFM actuels n'existaient pas, alors qu'ils collectent les identifiants d'accès aux services en ligne de leurs utilisateurs ?
Plutôt que de s'épuiser en arguments stériles, les banques feraient beaucoup mieux de se préparer concrètement à l'inévitable, qui arrive déjà via les concurrents qu'elles disent accepter. Qui sait, elles y trouveraient peut-être même des opportunités insoupçonnées (suivez mon regard vers le CA Store…) ?