L’open banking est-il un moyen de paiement sécurisé ?

Profile Photo
Nicki Cho, Head of Content
12 Oct 2022
Header image

Si vous envisagez d’intégrer l’open banking dans votre application ou sur votre site, la sécurité sera sur la liste de vos priorités.

Que vous l’utilisiez pour accepter des paiements ou pour accéder aux données financières de vos clients afin de leur proposer des services personnalisés, l’open banking offre des fonctionnalités de sécurité essentielles qui protègent tant les consommateurs que les entreprises.

Mais pour comprendre le degré de sécurité de l’open banking, vous devez d’abord comprendre son fonctionnement.


Qu’est-ce que l’open banking ?

Les débuts de l’open banking remontent à la Deuxième directive sur les services de paiement (DSP2). En vertu de cette réglementation, les responsables politiques de l’UE se sont engagés à octroyer aux consommateurs et aux entreprises plus de contrôle sur leurs finances en débloquant les comptes de paiement via des PSP tiers.

Grâce à l’open banking, les consommateurs peuvent accéder à leurs données financières et les utiliser par l’intermédiaire des PSP tiers, notamment pour vérifier leur identité, accéder à des applis de budgétisation intelligente ou à des services d’agrégation de comptes.

L’open banking permet également aux entreprises d’accepter des paiements en ligne d’une manière nouvelle et sécurisée, plus sûre et moins coûteuse que les méthodes traditionnelles comme les cartes.

La sécurité est une priorité de l’open banking depuis le début. C’est pourquoi les entreprises et les consommateurs qui y ont recours bénéficient d’importantes fonctionnalités de sécurité. Lisez cet article pour en savoir plus.

Qui peut accéder aux données financières des clients par le biais de l’open banking ?

Seules les entreprises réglementées peuvent se connecter aux comptes bancaires de leurs clients pour consulter leurs données financières ou accepter un paiement.

En France, l’open banking est réglementé par l'Autorité de contrôle prudentiel et de résolution (ACPR). Les entreprises qui veulent se connecter aux comptes des clients par l’open banking doivent recevoir l’autorisation de l’ACPR, ce qui signifie qu’elles doivent obtenir la permission explicite de l’organisme de reglementation et remplir de nombreux critères de gestion techniques et des données. Elles doivent aussi soumettre des rapports réguliers pour confirmer qu’elles respectent les règles.

Il existe deux types « d’accès » à l’open banking : les prestataires de services d'information sur les comptes (AISP) ont un accès en "lecture seule", ce qui signifie qu'ils peuvent consulter des informations financières mais pas effectuer un paiement. Les prestataires de services d'initiation de paiement (PISP) peuvent effectuer un paiement au nom d'un client.

Les entreprises non réglementées peuvent intégrer l'open banking dans leurs produits et services en s’associant à un prestataire tiers réglementé comme TrueLayer. Pour en savoir plus, lisez notre guide sur la réglementation de l'open banking en France.

Même avec l’autorisation réglementaire d’utiliser l’open banking, votre entreprise ne peut le faire que si votre client donne son autorisation explicite.

Ainsi, les clients contrôlent :

  • les informations qu’ils communiquent ;

  • les prestataires auxquels ils les communiquent ;

  • la durée de l’accès accordée à ces prestataires.

Les clients ne doivent pas non plus partager leur mot de passe ou leurs informations de connexion à un tiers.

Pour les paiements open banking, les clients doivent donner leur autorisation explicite au PSP tiers pour chaque paiement. Et chaque paiement est soumis à une authentification forte du client (SCA).

Quelles informations les tiers peuvent-ils consulter ?

Les clients choisissent les informations que les prestataires peuvent consulter et s’ils peuvent ou non accepter un paiement. Ils peuvent limiter les niveaux d’accès à tout moment et révoquer entièrement les autorisations s’ils le souhaitent.

En ce qui concerne les services d’information sur les comptes (consultation seulement), si le client l’autorise, un tiers ne pourra lire les éléments suivants que pour le compte de paiement spécifique auquel le client a donné accès :

  • Compte de paiement : nom du titulaire de compte, numéro de compte, IBAN

  • Carte de crédit : réseau, quatre derniers chiffres, nom sur la carte

  • Opérations : description, montant, catégorie, nom du commerçant

  • Soldes : actuel et disponible

  • Paiements réguliers : ordres permanents et prélèvements automatiques

Les informations exactes qu’un prestataire peut consulter varient selon la banque. Pour en savoir plus à ce sujet, adressez-vous à votre prestataire d’open banking.

L’autorisation du client ne dure que 90 jours avant d’expirer.

Si un client a autorisé un paiement open banking à un tiers, ce dernier n’est pas automatiquement autorisé à consulter ses informations financières. Pour ce faire, le client doit également consentir à cette option.

Les données des clients sur open banking sont-elles sécurisées ?

En bref, oui, elles sont très sécurisées. Les prestataires d’open banking accèdent aux données des clients par le biais d’une technologie appelée interface de programmation d'applications (API). Il s'agit d'une technologie éprouvée utilisée dans l’économie numérique au sens large, conçue pour fournir une connexion sécurisée entre les PSP tiers et les comptes des clients.

Contrairement aux méthodes traditionnelles telles que la « capture de données d’écran », les consommateurs ne sont jamais obligés de communiquer leurs identifiants avec l’open banking. Ils autorisent simplement l’accès à leurs comptes en s’authentifiant directement auprès de leur banque via des API sécurisées.

L’open banking assure :

  • le contrôle des données : la technologie open banking  prévoit des contrôles d’accès clairs, tant pour les utilisateurs que pour les détenteurs de données, conformément aux exigences et aux attentes en matière de confidentialité des données.

  • l’accès et la transmission sécurisés des données : les technologies open banking et API sont sûres et éprouvées.

  • la minimisation des données : l’open banking donne aux utilisateurs le contrôle de leurs données. Ils peuvent choisir la quantité de données qu’ils souhaitent communiquer.

En vertu de la DSP2, les prestataires d’open banking sont tenus de respecter toutes les lois relatives à la protection de la vie privée et des données partout où ils proposent des services. Ils doivent également respecter les réglementations pertinentes en matière de sécurité, les régulateurs régionaux fournissant des audits et des contrôles à intervalles réguliers.

Les clients peuvent-ils choisir de ne pas utiliser l’open banking ?

Les clients peuvent limiter les niveaux d’accès à tout moment, voire révoquer entièrement les autorisations.

Dans le cas des services d’information sur les comptes, l’autorisation du client dure 90 jours avant d’expirer.

Si un client a autorisé un paiement open banking, cette autorisation ne s’applique qu’à ce seul paiement.

Dans quelle mesure les paiements open banking sont-ils sécurisés ?

Voici les quatre caractéristiques qui rendent l’open banking intrinsèquement sécurisé :

  • Chaque paiement requiert une authentification forte du client (SCA).

    Lorsqu’un client effectue un paiement en open banking, il est toujours dirigé vers l’application de sa banque pour s’authentifier, généralement à l’aide des données biométriques. Sa banque vérifie son identité selon ces trois critères : possession, inhérence et/ou connaissance.

  • Aucune donnée sensible n’est communiquée.

    Contrairement aux paiements par carte, aucune information sensible n’est communiquée au commerçant lors d’un paiement open banking. Il n'y a rien à intercepter, à voler ou à divulguer qui pourrait entraîner des paiements non autorisés.

    Au lieu de cela, les prestataires d’open banking communiquent de manière sécurisée avec la banque du client pour transmettre les instructions de paiement en arrière-plan et initier le paiement.

  • Les instructions de paiement sont pré-remplies.

    Lorsqu'un client choisit de payer en utilisant l’open banking, il n’a pas besoin de saisir les coordonnées du bénéficiaire. Au lieu de cela, le prestataire d’open banking pré-remplit les détails et contrôle la destination de l’argent. Plus d’erreur humaine et de risque que les clients soient incités à envoyer l’argent à un fraudeur.

  • Les prestataires d’open banking intègrent des commerçants et effectuent les contrôles préalables nécessaires.

    Lorsqu’un prestataire d’open banking autorise un commerçant ou une autre entreprise à effectuer des paiements, il conclut un contrat commercial avec cette entité et effectue un contrôle préalable dans le cadre de ce contrat. Cette mesure réduit la probabilité que des commerçants mal intentionnés utilisent l’open banking pour commettre des fraudes.

    Les paiements open banking sont également mis en place de manière à ce que le prestataire ait une relation avec le consommateur et des obligations envers lui, telles que la réponse à une plainte ou un problème de paiement soulevé.

L’open banking offre-t-il d’autres protections aux consommateurs ?

Les paiements open banking sont conçus pour être sécurisés, mais aucun achat en ligne n’est à 100 % sans risque. En cas de problème de paiement, les clients sont-ils protégés ?

En bref, la réponse est oui. Voici quelques-unes des protections qui s’appliquent :

  • En France, la Directive sur les services de paiement prévoit des protections juridiques solides pour les clients qui utilisent des paiements open banking, par exemple, si leur argent est pris sans leur autorisation ou si le paiement ne parvient pas au destinataire devant être payé.

  • Les prestataires d’open banking doivent mettre en place des procédures de plainte au cas où un client ne serait pas satisfait de la manière dont son paiement a été traité. Si le client n’est pas satisfait du traitement de sa plainte, il a le droit de porter l’affaire devant le médiateur, qui peut accorder un dédommagement.

  • En cas de problème lors d’un achat (« protection de l’acheteur »), les clients bénéficient de protections légales en vertu de la loi sur les droits du consommateur.

En tant qu’entreprise, vous êtes également protégé contre la fraude par chargeback. On estime que jusqu’à 86 % des chargebacks peuvent être frauduleux, qu'ils soient intentionnels ou non. Contrairement aux paiements par carte, il n’existe pas de mécanisme de chargeback pour les paiements open banking, car ils ne présentent pas les mêmes vulnérabilités que les cartes. En l'absence de chargeback, il ne peut y avoir de fraude.


Avec ses solides bases réglementaires et ses dispositifs de sécurité bien établis, l’open banking est l’un des moyens les plus sécurisés de payer et de communiquer des données financières. Il présente par ailleurs de nombreux autres avantages pour les commerçants et pour les consommateurs.

Des infos directement dans votre boîte de réception
Rejoignez les 10 000+ abonnés qui reçoivent les actus open banking.
Latest
TrueLayer has won Payments Innovation of the Year at the 2024 FSTech Awards
15 Mar 2024

TrueLayer wins Payments Innovation of the Year at 2024 FStech Awards

money moving in and out of a portal
20 Feb 2024

The essential guide to ecommerce payment gateways

PSR VRP consultation
14 Feb 2024

Our response to the PSR's consultation on expanding VRP

Categories to explore