Qu’est-ce que la capture de données d’écran ?

La base de la capture de données d’écran consiste à collecter les informations qui s’affichent sur un « écran » (en général, une page internet) afin de les réutiliser pour effectuer des actions que l’utilisateur effectuerait normalement.

Mais la technologie et l’éthique de la capture de données d’écran font que son usage est assez controversé. Il existe un risque réel que le stockage d’informations confidentielles non cryptées, un phénomène assez fréquent avec la capture de données d’écran, entraîne des fuites ou des violations de données. Le partage d’identifiants de sécurité afin que les portails bancaires puissent faire de la capture de données d’écran a également des conséquences pour la sécurité des utilisateurs.

Alors qu’il s’agissait d’une réelle option de collecte automatique de certains types de données des clients, d’autres options ont depuis gagné en popularité. La capture de données d’écran était autrefois une pratique courante pour encourager les utilisations d’open banking, mais suite aux modifications de la réglementation, les interfaces de programmation applicatives (API) la remplacent de plus en plus.

Cet article explique comment et pourquoi les entreprises utilisent la capture de données d’écran, quels sont les avantages et les pièges de cette technique et quel est le rapport avec l’open banking.

Comment fonctionne la capture de données d’écran ?

La capture de données d’écran utilise un programme ou « bot » qui accède  au compte d’un client pour capturer automatiquement les données à l’écran en arrière-plan sans que le client ne soit présent.

Plus précisément, la capture de données d’écran fonctionne comme suit :

1. Le client partage ses informations de connexion avec un fournisseur tiers.

2. Ce fournisseur tiers utilise ces informations pour se connecter au compte bancaire du client.

3. Le fournisseur tiers copie ou « capture » ensuite les données bancaires du client pour une utilisation en dehors du portail de la banque du client.

En effet, la société qui procède à la capture de données d’écran représente l’utilisateur (avec son autorisation).

Un exemple courant de capture de données d’écran que vous pouvez rencontrer est l’autorisation d’un fournisseur tiers à accéder et capturer vos données financières dans le cadre d’une application de budgétisation intelligente afin qu’elle puisse utiliser les informations issues des données pour suggérer de meilleures méthodes de budgétisation et d’épargne.

À quoi sert la capture de données d’écran ?

La capture de données d’écran est utilisée dans plusieurs cas que l’on peut classer en deux catégories. Il existe des exemples de collecte de données sensibles dans lesquels l’utilisateur doit partager ses identifiants ou ses informations bancaires afin qu’une société procède à une capture de données d’écran (également appelé partage d’identifiants).

Il existe aussi des cas impliquant la capture d’informations publiquement disponibles pour des besoins de comparaison des sites internet, la vérification des annonces publicitaires et le transfert d’informations d’applications héritées vers des applications modernes.

Lorsque l’on observe précisément les utilisations impliquant le partage d’identifiants, les principaux exemples sont les suivants :

Pour accéder aux informations des comptes bancaires et les analyser : il s’agit probablement de l’usage le plus courant de la capture de données d’écran ; les services financiers peuvent capturer les informations du compte bancaire d’un client pour se connecter à celui-ci et collecter les données bancaires du client pour une utilisation en dehors de leur application.

Pour effectuer des paiements : il s’agit par exemple d’une société qui « effectue une action » plutôt que d’une simple collecte de données. Supposons qu’un fournisseur soit autorisé à accéder à votre compte bancaire. Il pourra demander un paiement vers un autre compte. Une application de budgétisation intelligente pourra avoir besoin de virer de l’argent vers un autre compte que vous détenez afin de profiter d’un meilleur taux d’intérêt.

Vérifications d’accessibilité : si une société souhaite vérifier votre historique financier et vos habitudes de dépenses, elle peut demander votre consentement pour capturer les informations pertinentes sur votre compte bancaire. Par exemple, si vous voulez emprunter, le prêteur pourra utiliser la capture de données d’écran pour vérifier rapidement si vous pouvez vous le permettre.

Pour stocker des données pour une utilisation ultérieure : une grande proportion du partage d’identifiants par capture de données d’écran a pour objectif de donner une vision plus complète de votre empreinte financière. Une société peut collecter ces données pour les conserver et les utiliser ultérieurement.

Pour voler des données : alors que la majorité de la capture de données d’écran est réalisée par des sociétés légitimes avec le consentement de leurs clients, les cyber-criminels peuvent aussi l’utiliser pour voler des données auprès d’internautes ne les soupçonnant pas.

Quels sont les avantages et les inconvénients de la capture de données d’écran ?

Le principal avantage de la capture de données d’écran est qu’elle permet aux sociétés de collecter automatiquement les informations des clients à une grande échelle.

Il existe cependant plusieurs inconvénients à utiliser la capture de données d’écran pour collecter des informations sensibles :

Elle est vulnérable aux violations de données

Les données obtenues par capture d’écran peuvent être conservées sans cryptage, ce qui signifie que vos informations bancaires et habitudes de dépenses sont exposées si votre fournisseur subit une violation de données.

Son utilisation est coûteuse

Du point de vue de l’entreprise, la capture de données d’écran est très chronophage. Comme la technologie de capture de données d’écran doit reconnaître le moindre petit détail visuel d’une page internet, même la  mise à jour la plus modeste peut totalement interrompre ou perturber l’expérience utilisateur. Résultat ?  Le client ne peut pas se connecter à sa banque ou utiliser d’autres services essentiels.

La capture de données d’écran n’inclut pas la minimisation des données

Alors qu’un client peut consentir à ce que ses informations bancaires soient utilisées à des fins  spécifiques, la capture de données d’écran ne permet pas la minimisation des données. La minimisation des données est le cas dans lequel un utilisateur consent à l’utilisation de données spécifiques uniquement pour les besoins d’accès à un service spécifique. La capture de données d’écran récupère en général toutes les données d’un écran. Les clients ont alors du mal à contrôler exactement les données qui sont capturées et comment elles seront utilisées.

La capture de données d’écran est-elle légale ?

Dans le cadre de la DSP2, la loi de l’UE conçue pour augmenter la concurrence dans le secteur des paiements, la capture des données d’écran est légale tant que certaines étapes de sécurité sont respectées, comme l’identification du fournisseur tiers auprès de la banque à laquelle il accède. Cependant, la plupart des banques se sont tournées vers des API pour permettre l’accès aux données des comptes et aux paiements, et la capture des données d’écran n’est pas nécessaire.

Les débats au sujet de l’interdiction totale de la capture de données d’écran ont été nombreux. En France, les banques doivent mettre à disposition des API répondant aux conditions définies par l’Autorité bancaire européenne (ABE). En Europe, l’ABE a également penché en faveur de l’arrêt de cette pratique, mais les consultations sont toujours en cours dans le secteur.

Quelle est la différence entre l’open banking et la capture de données d’écran ?

L’Open banking est un moyen de proposer aux sociétés réglementées un accès sécurisé et limité à votre compte bancaire avec l’autorisation du client. Auparavant, seules les banques avaient accès à ces informations. L’Open banking a généré plusieurs exemples de nouveaux services innovants qui aident les clients et les entreprises à tirer le meilleur parti de leurs finances. L’Open banking peut aussi inclure l’initiation de paiements, à savoir des paiements effectués par des fournisseurs tiers au nom de leurs clients avec leur consentement.

La capture de données d’écran est effectivement une façon de mettre en avant l’open banking. Alors que les autres technologies sont de plus en plus courantes, la capture de données d’écran est toujours acceptée dans le cadre de la DSP2 tant qu’une technologie API plus moderne et plus sécurisée n’est pas disponible ou ne fonctionne pas.

Capture de données d’écran ou API ?

La principale alternative à la capture de données d’écran pour l’open banking est la technologie API. Les API connectent ensemble différentes applications afin qu’elles échangent des données. Contrairement à la capture de données d’écran, elles le font de façon sécurisée, uniforme et entièrement cryptée. Elles permettent également la minimisation des données, à savoir que l’on accède à des sous-ensembles des données du compte (avec le consentement du client), plutôt qu’à toutes les données d’un client en une seule fois comme cela est le cas de la capture de données d’écran.

Les banques fournissent leurs propres API afin que les autres entreprises s’y connectent. En France, ces API doivent respecter les exigences du Code monétaire et financier et être conformes aux normes de la Banque de France. Dans l’UE, il existe des normes différentes pour les API mais toutes permettent aux fournisseurs de respecter la DSP2.

En savoir plus sur l’open banking

Depuis l’entrée en vigueur de la DSP2 début 2018, les API d’open banking se sont régulièrement améliorées, tout comme les utilisations qu’elles facilitent.

Lisez notre guide complet de l’open banking pour en savoir plus sur le fonctionnement des API, ce pour quoi elles peuvent être utilisées et comment votre entreprise peut en tirer parti.