+
-
Cet article appartient au dossier :

Rétrospective

Open Banking : acte 1

Le 22/12/2017
Séverine Leboucher

Dans la mouvance de l’ « open innovation », mais aussi de la désintermédiation, de l’émergence des « plates-formes » et autres formes d’« ubérisation », le concept d’open banking se concrétise aujourd’hui sous la pression du régulateur européen et de la DSP 2. Mais en quoi la banque de demain pourrait-elle être plus ouverte que celle d’hier ? À l’heure du digital, les différents services financiers sont de plus en plus accessibles en ligne, via les sites web et les applications mobiles des banques. Dès lors, pourquoi l’établissement qui produit ces services serait-il le seul à en donner l’accès ? Pourquoi ne pas laisser des tiers en assurer également la distribution, par exemple sur le modèle d’un Amazon ? Le géant du e-commerce, après avoir vendu en ligne des biens qu’il détenait en propre, a en effet poursuivi son développement sous forme d’une marketplace agrégeant une grande variété de vendeurs indépendants. Mais cette ouverture de la chaîne de valeur impose en parallèle celle des systèmes d’information : les « machines » des producteurs doivent pouvoir dialoguer avec les « machines » des distributeurs de manière fluide et instantanée (lire Encadré sur les API).

Or ouvrir des systèmes bancaires par construction cloisonnés et aussi hermétiques que possible vis-à-vis du monde extérieur, dans un souci de sécurité, est une démarche délicate. En témoignent les âpres négociations autour des standards techniques de la DSP 2 qui ont marqué l’année 2017. La seconde directive sur les services de paiement, votée en 2015, avait acté la possibilité pour des tiers dûment agréés et mandatés par les clients, d’accéder aux données de leurs comptes de paiement et d’initier des virements à leur place. Une manière pour le régulateur de légitimer des services déjà offerts par des FinTechs comme Bankin, Linxo ou Sofort, tout en fixant des règles claires [1]. La rédaction de ces règles, laissée au niveau des standards techniques, s’est révélée difficile. Deux visions se sont opposées : celle des banques teneuses de comptes, qui veulent garantir la protection des informations sans démultiplier les investissements, et les nouveaux tiers de paiement, qui s’inquiètent que les banques puissent ne pas suffisamment jouer le jeu de la concurrence.

Un compromis, complexe, a finalement été trouvé fin novembre (lire Agrégateurs et banques : comment vont-ils s’échanger les données des comptes ?) ; place maintenant à sa mise en œuvre, via la publication des premières API courant 2018 et l’élaboration des premiers business models en mode « open banking ». Le nouveau virement instantané (Instant Payment), qui sera lui aussi déployé à partir de l’an prochain, devrait renforcer l’impact de l’ouverture des systèmes bancaires impulsée par la DSP 2. Demain – ou après-demain – une plate-forme de confiance pourrait très bien agréger vos comptes, vous conseiller sur les offres les plus attractives du marché puis effectuer pour vous en temps réel les transferts pour en bénéficier, pourquoi pas à l’aide d’un algorithme d’intelligence artificielle. Et dans ce scénario, qui sera la plate-forme centrale ? La question reste, elle aussi, ouverte…

 

Ils ont dit

2 CV ou Ferrari ?

« Il faut garder à l’esprit que la question des API et de leurs standards ne sont que la partie émergée de l’iceberg en matière d’open banking. Une fois ces questions d’accès [aux données bancaires] réglées, les acteurs, établissements historiques ou nouveaux entrants, pourront s’atteler au fond du sujet et travailler main dans la main par exemple sur les questions de sécurité, comme c’est déjà le cas au Royaume-Uni. […] Toutes essentielles qu’elles soient, les données du compte bancaire ne sont que du carburant que l’on utilisera indifféremment dans une 2 CV ou une Ferrari. La différence entre les deux véhicules, ce sera l’expérience client que l’on saura créer à partir de ces données. »

Bruno Cambounet, VP Finance Services and Banking Solutions, Axway, Revue Banque n°813, novembre 2017, p.15.

 

Des API gratuites ou payantes ?

« La question du modèle économique est primordiale. Il ne faut pas être naïf : ouvrir des API à des acteurs extérieurs a un coût, en particulier pour assurer une bonne qualité de service comme nous entendons le faire. Ce coût dépend de l’architecture informatique existante de chaque banque, de la nécessité de refondre les bases de données et de mettre à niveau les systèmes pour faire face à la charge des requêtes des tiers. C’est un sujet à discuter au sein de la profession et avec le régulateur. C’est aussi un enjeu pour les utilisateurs de ces API qui ont besoin d’un service irréprochable pour faire fonctionner leurs applications dans la durée. La question du coût doit donc être un point de vigilance absolue qu’il convient de mettre davantage en avant. »

Yves Tyrode, directeur général en charge du digital, BPCE, Revue Banque n° 805, février 2017, p.28.

 

Des freins technologiques et culturels

« Il existe des blocages technologiques [au sein des banques traditionnelles] : elles doivent réorganiser leur core banking system, tant les données elles-mêmes (back-end) que les interfaces pour y accéder (front-end). Ce sont d’importants investissements et elles ont du mal à savoir par où commencer. Il y a également des freins culturels : le management peine à voir les avantages de l’ouverture. Pourtant, elle peut leur offrir de nouvelles sources de revenus. Les banques devraient aller au-delà de ce que la DSP 2 leur impose, à savoir l’accès au compte (solde, vérification de la disponibilité des fonds, vérification du compte…), et proposer des services payants, comme le transfert d’argent en temps réel, les paiements conditionnés ou encore les vérifications de KYC. »

Sophie Guibaud, vice-président European Expansion, Fidor Bank, Revue Banque n° 805, février 2017, P32-33.

 

Open banking et protection des données

« [Un des défis] à relever porte sur la sécurité des données, risque singulièrement accru du fait de l’interconnexion croissante des systèmes d’information, compte tenu notamment des évolutions qui résulteront des récents textes européens. Ainsi, la seconde directive sur les services de paiement prévoit que les nouveaux prestataires de services de paiement non teneurs de comptes, les agrégateurs d’informations sur les comptes et les initiateurs de paiement pourront accéder aux comptes de paiement logés dans les banques, via des interfaces informatiques sécurisées mises à disposition par celles-ci. Ce mouvement d’ouverture des données détenues par les entreprises financières laisse entrevoir des opportunités, mais aussi des risques assez significatifs, notamment en ce qui concerne la cybersécurité.

En outre, la loi pour une république numérique et le règlement GDPR introduisent le droit à la portabilité des données personnelles. Ainsi, les personnes concernées ont le droit de recevoir les données à caractère personnel qu'elles ont fournies à un responsable du traitement, dans un format structuré, couramment utilisé et lisible par machine, et ont le droit de transmettre ces données à un autre responsable du traitement ou de demander que ces données soient transmises directement à ce dernier lorsque cela est techniquement possible. Cette disposition, qui vise à accroître la concurrence entre responsables de traitement et, de là, permettre le développement de nouveaux services dans le cadre du marché digital unique (prévenir le « lock in » des clients), peut avoir d’importants impacts sur les acteurs financiers. Ainsi, les modalités techniques de transfert de ces données peuvent générer des risques de sécurité nouveaux. »

Nathalie Beaudemoulin, coordinatrice du Pôle FinTech Innovation, ACPR, Revue Banque n° 810, juillet 2017, p. 28-30.

 

[1] Jusqu’ici, ces services d’agrégation de comptes (AIS) et d’initiation de paiement (PIS) étaient réalisés via la technologie du web scraping, qui permet la récupération de données par des robots directement sur l’espace client en ligne du client, sans prévenir la banque teneuse de comptes.

L'auteur

Sommaire du dossier

Articles du(des) même(s) auteur(s)

Sur le même sujet