En publiant la version finale des très attendus standards techniques (RTS) de la DSP 2 le 27 novembre, la Commission européenne a-t-elle réussi l’exploit de réconcilier des positions irréconciliables ? Les deux camps qui se sont affrontés pendant des mois sur ce texte ont salué les arbitrages finaux du législateur européen. Tout d’abord, les banques, en tant
L’API, voie privilégiée…
Mais comme souvent dans le processus européen, les compromis se traduisent par des usines à gaz réglementaires. Ce RTS régissant – en
…mais pas unique
Derrière cette apparente simplicité, la solution « tout API » a inquiété les agrégateurs et initiateurs : que se passerait-il en cas de défaillance de l’interface, ou tout simplement si celle-ci se révélait moins performante que l’espace de banque en ligne à la disposition client ? Les FinTechs ont réclamé des garde-fous. Après plusieurs mois de négociations houleuses, rythmées par les allers-retours entre la Commission et l’EBA, le RTS a accouché d’un système à plusieurs étages. Tout d’abord, les banques teneuses de compte ne souhaitant pas développer d’API – celles de taille modeste par exemple – pourront avoir recours à une solution d’« accès direct », forme de web scraping où la FinTech a l’obligation de s’authentifier. Quand l’API existe, cet accès direct sert également de solution de repli en cas de dysfonctionnement. Cas qui devraient rester rares puisque l’interface aura au préalable été testée par les acteurs pendant six mois. Sa performance en termes de qualité de données, de fréquence de mise à jour, de conditions d’accès aura donc pu être, au préalable, vérifiée. La solution de repli sur l’accès direct est donc surtout un garde-fou et une incitation à ce que la qualité initiale reste la même dans le temps.
Une exemption aux contours encore flous
Le RTS introduit toutefois un système d’exemption à cette solution de repli. L’autorité nationale compétente – en France vraisemblablement l’ACPR, avec en soutien la Banque de France sur les questions de sécurité – pourra dispenser l’ASPSP proposant une API suffisamment performante du développement d’un accès direct avec authentification. « Nous avons proposé aux instances européennes une solution technique sécurisée et simple à mettre en place pour cette authentification », assure Joan Burkovic, fondateur de Bankin. Mais au-delà des coûts de développement, c’est l’existence même d’une solution proche du web scraping qui crispe les banques : « Même authentifié, le web scraping n’est pas sécurisé puisqu’il nécessite le stockage des identifiants et mots de passe », insiste Jérôme Raguénès, directeur du département numérique, systèmes et moyens de paiement de la FBF. Que se passera-t-il, dès lors, si l’API dysfonctionne
Autre point délicat de cette exemption : le « tampon » que doit mettre l’autorité nationale compétente. La procédure n’est pas décrite par le texte et les critères pour juger de la validité d’une API ne sont pas explicités. « Il sera important de trouver une procédure harmonisée entre les différentes autorités, explique Geoffroy Goffinet, directeur adjoint des agréments à l’ACPR. La DSP 2 prévoit un système de passeport européen pour ces nouveaux services et il faut que les critères de conformité soient au même niveau d’exigence dans tous les pays. » Ce sera vraisemblablement à l’EBA de garantir cette harmonisation.
Des points laissés en suspens
En outre, l’autorité européenne doit combler un autre vide de la DSP 2 et de son RTS : celui du registre des AISP et PISP agréés. « Les banques ont besoin de savoir si les tiers qui appellent leurs API sont autorisés à accéder aux données. Ce registre doit être tenu à l’échelle européenne, du fait du passeport, et être dynamique, pour pouvoir tenir compte en temps réel d’éventuels retraits d’agrément. Sans cela, les risques seraient trop importants », fait valoir Jérôme Raguénès. Des standards ont été proposés par l'EBA le 13 décembre et le registre devrait voir le jour courant 2018.
L’ensemble de ce dispositif complexe pâtit par ailleurs de son calendrier : les AISP et les PISP seront agréés à partir du 13 janvier 2018, mais le RTS n’entrera en vigueur qu’à l’été
La DSP 2 et après ?
Même une fois ces API mises en place et utilisées, rien ne sera réglé pour l’accès aux comptes autres ceux de paiement couverts par la directive. La zone grise pré-DSP 2 prévaudra donc toujours pour les comptes d’épargne notamment. Avec de surcroît des différences entre pays, dues à des transpositions hétérogènes de la directive. « 80 % des comptes concernés par nos services ne sont pas des comptes de paiement, rappelle Joan Burkovic. Mais il faut procéder par étapes. Celle-ci est un bon premier pas qu’il faut stabiliser. On peut supposer que l’on utilisera très prochainement les mêmes règles de sécurité pour tous les systèmes. C’est d’ailleurs ce que nous prônons. » Pour réaliser ce pas supplémentaire, il faudra résoudre la question du business model. En imposant qu’un tiers agréé puisse accéder à l’API sans avoir besoin de contractualiser avec la banque, la DSP 2 a complexifié la donne. Cette disposition empêche la tarification de l’accès et donc l’amortissement du développement de l’API. Mais rien n’empêche à l’avenir les parties prenantes de s’entendre sur des fonctionnalités supplémentaires, pouvant, elles, faire l’objet d’une tarification. Une sorte de modèle « freemium » qui offrirait par exemple une plus grande fréquence de mise à jour des
À terme, ces frictions entre ASPSP et tiers pourraient même disparaître si l’API devenait la technologie de référence pour tout accès aux données bancaires. « Il y aurait une logique à ce que l’API soit également utilisée par la banque pour connecter l’interface en ligne du client avec le système d’information », soulignait ainsi Julien Lasalle, adjoint au chef du service de surveillance des moyens de paiements scripturaux à la Banque de France, lors d’une conférence organisée par Canton Consulting début décembre. Une manière de solder les débats de ces derniers mois et de travailler ensemble à un écosystème bancaire à la fois ouvert et sécurisé.
Achevé de rédiger le 15 décembre 2017.