C'est pas mon idée !

samedi 27 juillet 2013

Quand le scoring va trop loin...

LendProtect
Les agences de scoring, qui permettent aux institutions financières d'obtenir une estimation du risque de défaut d'un emprunteur potentiel, sont naturellement à la recherche de toutes les données disponibles sur les consommateurs, afin de déterminer leur profil avec le plus de précision possible. Or, il arrive parfois que les méthodes employées soient un peu excessives...

Prenons ainsi l'exemple de LendProtect, une importante agence britannique spécialisée dans l'évaluation des populations sous-bancarisées. Elle vient d'annoncer le lancement d'un nouveau service, BankLogic, qui va permettre à ses clients, en majorité des sociétés de crédit "alternatif" à courte échéance, de consulter en toute liberté les comptes des personnes qui les sollicitent. Cette exclusivité est rendue possible par un partenariat avec le leader mondial de l'agrégation de comptes, Yodlee.

En pratique, l'emprunteur va donc se voir demander de fournir ses codes d'accès aux services en ligne de sa (ou ses) banque(s). Armée de ces précieux sésames, LendProtect va pouvoir capturer automatiquement les informations d'identité du détenteur, le solde de son (ou ses) compte(s) et les transactions réalisées au cours des 3 derniers mois. Autant de données qui seront évidemment extrêmement utiles aux prêteurs pour leur prise de décision.

En apparence, il ne s'agit finalement que de reproduire une pratique courante, consistant à demander les 3 derniers relevés de compte pour évaluer la situation financière d'une personne. Grâce aux outils de Yodlee, l'opération devient simplement plus efficace et plus rapide : les données sont disponibles immédiatement, sous une forme électronique et homogène, facile à analyser. Cerise sur le gâteau, toute falsification des documents bancaires devient impossible.

L'objectif affiché est parfaitement légitime et l'offre BankLogic semble être avantageuse pour tous. Malheureusement, elle souffre d'un grave défaut : la fourniture par l'emprunteur de ses codes d'accès de banque en ligne. Un très dangereux précédent est établi ici, d'autant plus insidieux qu'il intervient alors que le client est en position de faiblesse (les emprunts à court terme pour les consommateurs sous-bancarisés sont souvent contractés dans des situations d'urgence).

Sans même parler des risques de sécurité liés à la diffusion des clés électroniques des comptes bancaires, une fois cette barrière franchie, il n'y a plus aucune limite opposable aux demandes du même acabit formulées par n'importe qui. Et les abus en tout genre pourront alors proliférer.

Il est assez étonnant, et très inquiétant, que Yodlee, actuellement partenaire de plus 600 entreprises, dont 7 des 10 plus grandes institutions financières américaines, notamment dans des solutions de PFM ("gestion de finances personnelles"), s'associe à un tel service... Quoi qu'il en soit, les banques devraient, pour leur part, mettre rapidement le holà à ces pratiques abusives.

3 commentaires:

  1. Il y a 2 problèmes qu'il ne faut pas amalgamer :
    - le contrôle des données personnelles : le client final doit être en contrôle de son compte "Yodlee" et pouvoir le revoquer, en limiter l'accessibilité ou en contrôler les données mises à disposition
    - la mise à disposition des informations : aujourd'hui un des premiers critères de sélection pour l'accès aux prêts en France, c'est la capacité à remplir les formulaires de prêts et à fournir les justificatifs correspondants. Cela parait complètement évident mais il faut avoir vu un formulaire de prêt bancaire (d'autant plus après la loi Lagarde) et connaitre les populations concernées pour se rendre compte qu'il faut souvent être accompagné pour le remplir. Ce qui, pour le coup, ouvre la voie à d'autres abus. La capacité d'un compte bancaire à fournir les informations d'un formulaire (sous réserve du contrôle évoqué dans mon 1er point) devrait être un droit à l'image du pré-remplissage de la déclaration de revenu (qui en a libéré plus d'un).

    RépondreSupprimer
    Réponses
    1. Nicolas, mon point concerne uniquement le fait d'obliger (plus ou moins) le consommateur à donner ses codes d'accès à la banque en ligne.

      Supprimer
  2. Il me semble que ce n'est pas propre à cette fonctionnalité : c'est un problème récurrent avec ce type de techno basée sur des "agrégateurs web" / "moteurs de web scraping", commun à la plupart des solutions de PFM et autre.

    Un "protocole" type OAuth permet de s'affranchir de ce type de problème de sécurité, mais quasiment aucune banque ne le supporte aujourd'hui.

    cf. CGU de Yodlee

    Third Party Accounts.

    By using the Yodlee MoneyCenter Service, you authorize Yodlee to access third party sites designated by you, on your behalf, to retrieve information requested by you. You hereby authorize and permit Yodlee to use information submitted by you to the Yodlee MoneyCenter Service (such as account passwords and users names) to accomplish the foregoing and to configure the Yodlee MoneyCenter Service so that it is compatible with the third party sites for which you submit your information.

    RépondreSupprimer

Afin de lutter contre le spam, les commentaires ne sont ouverts qu'aux personnes identifiées et sont soumis à modération (je suis sincèrement désolé pour le désagrément causé…)