Agrégateurs PFM : La question des codes d'accès

Alors qu’on attendait plutôt une réaction de la FBF (Fédération Bancaire Française) c’est la CNIL (Commission Nationale de l' Informatique et des Libertés) qui le mois dernier a pris une position critique sur le modèle des agrégateurs PFM. 

Ces services internet et mobile, qui permettent la gestion depuis une interface web unique de l’ensemble de ses comptes bancaires (même lorsque ceux-ci sont répartis dans des banques différentes), sont très en vogue aux Etats-Unis. En France ils se nomment Boursorama MoneyCenter, Linxo ou Winancial.

Leur fonctionnement repose sur la technique du « web-scraping ». En utilisant les paramètres de connexion des utilisateurs, ils se connectent sur les portails web de leurs banques (parfois sans l’accord de celles-ci) pour rapatrier les données de leurs comptes et ainsi les présenter de manière synthétique. C’est simple et transparent pour le client… et c’est bien ce qui gène la CNIL.

Car au-delà du risque de piratage, c’est surtout l’aspect juridique qui pose problème à l’institution.

En effet en souscrivant à un agrégateur PFM en ligne, le client transfère la gestion de ses codes d’accès à un tiers. Rien de moins. En cas de vol ou d’opération illicite effectuée au moyen de ces codes d’accès, il sera difficile au client de se retourner contre la banque. Même si ces codes ont été récupérés par un hacker, sans qu’il y ait de lien avec l’agrégateur PFM.

Ce serait beaucoup plus simple si les banques  adoptaient toutes un système de connexion commun et indépendant. Mais le rêve d’un login / mot de passe unique sur internet a pris du plomb dans l’aile depuis le flop d’OpenID. Et la perspective de voir un jour Facebook ou Twitter, via leurs API Connect, jouer ce rôle n’est pas forcément envisageable (voire souhaitable), même si une banquenéo-zélandaise a déjà sauté le pas.

Une solution simple et pragmatique a été trouvée par INGDirect aux Etats-Unis : leurs clients peuvent désormais créer un accès en « read only » à leurs données bancaires. Prévu pour être communiqués aux agrégateurs PFM, ces codes d’accès réduisent considérablement les risques de malveillance.

NFC et biométrie : le couple idéal ?

Ce n’est un mystère pour personne, la monétique se penche sur la biométrie depuis de nombreuses années maintenant. Mais si la possibilité d’identifier un client de manière irréfutable que ce soit par sa voix, son œil ou l’empreinte de son index demeure un enjeu de taille, à ce jour rien de concret n’est encore venu révolutionner notre quotidien de consommateur.

Ca pourrait bien changer. La biométrie revient aujourd’hui sur le devant de la scène avec le paiement sans contact (et la désormais célèbre norme NFC). 

En effet, comme je tentais de l’expliquer il y a quelques jours lors d’une table ronde sur ces sujets, c’est toujours l’usage qui impose un procédé d’identification (voire d’authentification) et non l’inverse. 

Le paiement mobile sans contact n’a réellement de sens que s’il est instinctif (un simple geste) tout en étant au moins aussi sûr qu’un paiement carte. Or on le sait depuis longtemps le frein au développement du sans contact n’est pas la sécurité. Le paiement mobile (pour peu qu’il repose sur une authentification à 2 facteurs : mobile + code PIN par exemple) est aussi sûr qu’un paiement carte en magasin.

C’est sur la simplicité d’usage que la biométrie s’impose naturellement comme facteur d’identification. Le français Inside Secure, pionnier du NFC, ne s’y trompe pas et mise sur le duo empreinte digitale +support mobile (téléphone ou TazTag). 

La révolution est donc en marche. Pour payer ses courses à Carrefour ou Leclerc il suffira bientôt de passer le mobile devant la borne en pressant simplement l’index sur le dos de l’appareil… Enfin en théorie. Car comme pour le NFC le principal frein demeure le manque de téléphones compatibles. C’est ce qui dissuade actuellement les différents acteurs (banques et grande distribution en tête) d’adopter ce type de dispositif.

Je discutais cette semaine avec Pontus Jägemalm, le CTO de Fingerprints. Cette société suédoise propose aux constructeurs de mobiles (LG, Sony-Ericsson…) des systèmes de capture d’empreintes digitales (hardware + software). Pontus me confiait que ses clients réclament de voir des applications concrètes (mBanking / mCommerce) utilisant leur système avant d’en étudier l’éventuelle intégration sur un terminal. Le chien se mort la queue.

Alors certes il existe des solutions biométriques ne nécessitant pas l’intégration de dispositif hardware dédié. C’est le cas par exemple de la reconnaissance faciale (avec des projets expérimentaux comme BioLock et FaceLight) mais là c’est la précision et les contraintes d’utilisation (éclairage, cadrage) qui semblent rédhibitoires pour un usage de masse.

Pour résumer, et même s’il reste des obstacles, il semble bien qu’avec l'argument de simplicité et de sécurité que lui apporte l’authentification biométrique, l’horizon s’éclaircisse encore un peu plus pour le paiement sans contact.

Le PFM au delà des camemberts

Qu'on se le dise, 2011 est l'année du Personal Finance Management (PFM).

Au premier Finovate Europe qui s'est tenu il y a 2 mois à Londres, pas moins de 6 sociétés (dont  le précurseur Yodlee) étaient venues chacune proposer aux banques leur plateforme PFM en marque blanche, prête à intégrer. Les Backbase, Meniga ou Figlo présentaient ainsi des solutions certes élégantes, mais dont la standardisation et l'uniformité laissaient un peu perplexe.

En effet pourquoi ces portails se ressemblent-ils tous alors que les banques n'ont pas toutes les mêmes clients et que ces derniers n'ont pas les mêmes exigences en matière de coaching budgétaire ? On peut imaginer en effet qu'une banque mutualiste pourrait miser sur des outils budgétaires simples afin de rassurer la ménagère, alors qu'un pure-player à la Fortuneo ou BforBank souhaiterait probablement proposer un PFM plus touffu, axé sur la performance et l'optimisation.

Ce qui nous amène naturellement, au delà de cette généricité du traitement, à se poser la question suivante : à part afficher des camemberts, que fait-on de ces données ? Quel sens leur apporte-t-on ?
Pourrait-on analyser leur contexte en détectant des comportements afin de proposer par exemple le bon produit d'épargne pour la bonne situation (voir l'excellent billet de Brett King à ce sujet) ? Du point de vue de la banque, cela revient in fine à se demander : comment peut-on intégrer et croiser ces données avec les autres données CRM dont on dispose ?

Les plateformes PFM sur étagère n'ont pas pour objectif de répondre à ces questions. Mais, c'est vrai, ce n'est un problème que si l'on considère le PFM comme un pilier stratégique de sa relation client, et non comme un service de plus sans grande valeur ajoutée.

A l'occasion d'un récent symposium sur l'innovation bancaire, Philippe Laulanie (Head of Distribution Global, BNP) faisait l'analogie entre le SI bancaire et une maison. Je reprendrais ici son schéma en le modifiant un peu pour placer le PFM au centre de l'offre de service :

La fondation du SI bancaire c'est son infrastructure, le core-banking. Dans les grandes institutions il date généralement des années 1970 ou 1980 et demeure très orienté produit. Or pour que la CRM joue un role structurant cross-service et cross-canal, il faut que le core-banking soit adapté, recentré sur le client et non sur les produits. En résumé, pour tirer pleinement parti de services innovants (comme le PFM) et des nouveaux medias, cela passe souvent nécessairement par une refonte complète du système d'information.

Pour les banques qui ont entrepris cet effort ou sont en train de la faire, il faut aujourd'hui concevoir un PFM sur mesure, organisé sous forme de modules indépendants (catégorisation automatique des dépenses, profils utilisateurs, suggestions produits, rendering, connexion aux réseaux sociaux...) et interconnectés avec les outils CRM.

Pour les autres, à mon sens, il y a clairement un intéret à considérer l'intégration de plateformes PFM off-the-shelf, comme celles que je cite au début de ce billet, au moins pour satisfaire temporairement a une demande des clients pour des informations plus "visuelles".