Coup d’envoi pour la plateforme « bLink »

Depuis le 25 novembre, la Suisse est entrée dans l’ère de l’Open Banking à travers le lancement de la plateforme « bLink » opérée par SIX. Cette évolution inscrit la Suisse dans un mouvement international qui vise à favoriser le partage de données financières via des interfaces standardisées, de manière à offrir aux clients un accès élargi à des services innovants proposés par une pluralité de prestataires de services financiers.

L’Open Banking se définit comme un modèle standardisé de partage de données financières, qui vise à faciliter l’échange d’informations entre prestataires de services financiers via des interfaces standardisées. Ce modèle permet ainsi, par exemple, de regrouper dans une seule application l’ensemble du patrimoine financier détenu par une personne auprès de plusieurs établissements bancaires et, le cas échéant, auprès de sa caisse de pension. Il offre également la possibilité d’initier des paiements depuis une application tierce, sans passer par la plateforme en ligne de la banque dans les livres de laquelle le compte est ouvert. Aux antipodes d’une vision centrée sur la confidentialité des informations financières, l’idée est ici de favoriser le partage de données dans un format standardisé (généralement sous la forme d’une Application Programming Interface / API) de manière à faciliter leur exploitabilité par des prestataires de services distincts de la banque qui détient le compte. La conséquence concrète de ce phénomène est une fragmentation de la chaîne de création de valeur en accordant au client un choix entre plusieurs prestataires de services financiers.

À l’échelle internationale, l’Open Banking fait l’objet depuis de nombreuses années d’une réglementation qui vise notamment à encourager les établissements bancaires à partager leurs données si leurs clients le souhaitent. Plusieurs juridictions – notamment le Royaume-Uni, Hong Kong, le Japon, Singapour, les États-Unis et l’Australie – ont instauré des cadres juridiques spécifiques. Au sein de l’Union européenne, la Directive (UE) 2015/2366 du Parlement européen et du Conseil du 25 novembre 2015 concernant les services de paiement dans le marché intérieur (également appelée « directive PSD2 ») constitue le cadre normatif de référence qui a favorisé l’émergence d’un écosystème fintech dont le développement a été grandement accéléré par l’accès facilité à des données financières dans un format standardisé et donc aisément exploitable.

En comparaison, la Suisse est longtemps restée quelque peu en retrait dans la mise en œuvre opérationnelle et juridique de l’Open Banking. Le Conseil fédéral soutient toutefois son développement et privilégie, pour l’heure, une approche non-contraignante fondée sur l’autorégulation. Cette approche préserve la flexibilité de l’écosystème financier suisse mais implique un engagement accru des acteurs concernés afin d’assurer un degré adéquat d’interopérabilité. Dans ce contexte, le lancement le 25 novembre de la plateforme « bLink » marque une étape cruciale dans le développement de l’Open Banking en Suisse. Opérée par SIX, bLink ambitionne de devenir le standard suisse en la matière. À ce jour, une soixantaine de prestataires de services financiers et de fournisseurs tiers l’ont déjà rejointe, et il est attendu qu’un nombre croissant d’acteurs s’y associe à l’avenir.

Ce projet s’inscrit dans la continuité de l’initiative lancée en 2022 sous l’égide de Swiss Fintech Innovations, ainsi que du Memorandum of Understanding coordonné en 2023 par l’Association suisse des banquiers, par lequel les établissements de services financiers participants ont formalisé leur engagement en faveur du développement de l’Open Banking.

Le développement et l’exploitation d’une plateforme d’Open Banking en Suisse soulève plusieurs enjeux juridiques majeurs. Trois volets revêtent une importance particulière et ont fait l’objet d’une attention particulière dans l’architecture contractuelle qui sous-tend la plateforme bLink :

1. Le secret bancaire, qui limite en principe la communication de données de clients à des tiers sous réserve d’une renonciation du client (cf. ci-après) ;
2. La protection des données personnelles, laquelle requiert notamment la transparence des traitements, le respect du principe de proportionnalité et la limitation des finalités pour lesquelles les données personnelles sont traitées ; et
3. Les exigences de cybersécurité, en vue de garantir la confidentialité, l’intégrité et la disponibilité des données et des infrastructures.

La clé de voûte d’une plateforme d’Open Banking – et « bLink » ne fait pas exception à cette règle – est le consentement des utilisateurs (à savoir principalement les clients des banques). Ces derniers doivent valider le partage de leurs données, généralement via leur application e-banking, autorisant ainsi leur établissement financier à transmettre certaines informations à des tiers. Le traitement par ces tiers demeure strictement limité au périmètre du consentement accordé et doit poursuivre des finalités déterminées. De plus, l’une des conditions d’adhésion, pour les banques, à la plateforme « bLink » est l’obligation d’offrir aux clients la possibilité de retirer leur consentement en tout temps. Il est du reste symptomatique de constater que la plateforme « bLink » offre un module de gestion du consentement, qu’elle désigne par le néologisme de Consent Management-as-a-Service (CaaS).

En parallèle à la levée du secret bancaire et aux aspects de protection des données, la documentation-clients qui sous-tend un partage de données bancaires sur une plateforme d’Open Banking telle que « bLink » devra avertir le client que les prestataires tiers de services qui auront accès aux données bancaires rendent leurs services au client sous leur propre responsabilité, notamment en termes de sécurité de données et de qualité des services rendus.