Quand le régulateur pousse à l’ouverture des banques

Qu’est-ce que l’Open Bank ? Si le juriste peut comprendre la traduction littérale de « Banque ouverte », celle-ci ne renvoie pas à une notion connue, mais à de multiples concepts juridiques reflétant la pratique en constante évolution. Ces concepts varient en fonction des utilisateurs et des fournisseurs de l’Open Bank, de l’objectif recherché, des données/services/applications concernés et des technologies utilisées. L’approche par les technologies utilisées sera le fil conducteur de cette présentation. En effet, la clef de voûte de l’Open Bank repose sur la capacité de la place à définir des protocoles standards partagés par le plus grand nombre tout en préservant la sécurité du système.

L’Open Bank en API

Les interfaces de programmation applicative (API [1] ) sont des solutions informatiques permettant d’interagir avec un système ou une application extérieur sans avoir à entrer dans la complexité de ce système ou de cette application. L’accès s’effectue par un jeu de fonctions standards. Dans le secteur bancaire, et plus particulièrement dans le secteur du paiement, ces API [2] se sont fortement développées avec l’arrivée des nouveaux acteurs issus de la Directive sur les services de paiement datée du 13 novembre 2007 (2007/64/CE) dite « DSP 1 » et de la Directive relative à la monnaie électronique du 16 septembre 2009 (2009/110/CE) dite « DME 2 ».

Depuis quelques années, porté à marche forcée par l’évolution de la réglementation européenne, le secteur bancaire s’ouvre à la concurrence par la création de nouveaux acteurs régulés. Ces nouveaux acteurs sont utilisateurs et fournisseurs d’API et participent par ce biais à la fourniture de services de paiement et de monnaie électronique.

Des fournisseurs d’API nés de la DSP 1 et de la DME 2

Nombreux sont ces nouveaux acteurs qui ont développé depuis sept ans des business models fondés simultanément sur une offre propriétaire et une offre « cobrandée ». Ils se positionnent alors en qualité de fournisseur d’API couplé avec une prestation de services de paiement sur mesure dédiée aux clients de l’utilisateur de l’API. Force est de constater que certains établissements européens ont des centaines d’offres personnalisées de services de paiement et de monnaie électronique pour des partenaires utilisateurs de leur API et des millions de clients finaux utilisateurs de services de paiement et monnaie électronique.

L’objectif du fournisseur d’API, qu’il soit une banque ou un établissement de paiement ou de monnaie électronique, consiste à rentabiliser sa plate-forme de services de paiement et/ou d’émission et de gestion de monnaie électronique.

L’objectif de l’utilisateur de l’API repose souvent sur la volonté de tester un marché dans le secteur bancaire ou du paiement, sans rechercher l’obtention d’un agrément au démarrage. Il peut aussi consister à couvrir des situations plus pérennes, lorsque l’utilisateur d’API a lui-même développé des services à valeur ajoutée, dont le paiement n’est qu’un accessoire. L’utilisateur de l’API n’a pas, dans ce cas, la volonté d’internaliser les services réglementés à court et moyen terme. Les nouveaux entrants issus des directives précitées et les acteurs plus traditionnels peuvent aussi parfois s’intégrer dans la chaîne de valeur du paiement en qualité d’utilisateur d’API.

Des utilisateurs de nature variée

Dans le secteur marchand, le développement des places de marché crée aussi des nouveaux besoins en termes d’API. En effet, la réglementation européenne a fait massivement basculer les places de marché n’agissant pas en qualité de commissionnaire ou dans le cadre d’une exemption, en prestataire fournissant des services de paiement. Ces services réglementés requièrent l’obtention d’un agrément ou d’un mandat d’agent de paiement conclu avec un prestataire de services de paiement. Dans les deux cas, ces acteurs ont besoin de minimiser l’impact de ce changement réglementaire et d’intégrer dans leur plate-forme les API requises pour leur permettre d’ajouter la brique régulée tout en préservant leur système de gestion d’achats-ventes en ligne et de gestion de la fraude. De façon générale, les grands marchands sont de plus en plus enclins à développer leur propre établissement régulé en utilisant des API bancaires ou de paiement répondant à leurs besoins, notamment en cross canal. Le fournisseur d’API devient au sens de la réglementation un prestataire de services essentiels et l’utilisateur de l’API est un établissement régulé.

Au-delà des services de paiement, la réglementation relative au financement participatif a fait émerger en Europe de nouveaux utilisateurs potentiels d’API bancaires et de paiement : les intermédiaires en financements participatifs et les conseillers en investissements participatifs.

Dans le secteur du crédit, les nouvelles banques digitales s’appuient sur des « core banking » proposés en API par des filiales de banques.

Dans tous ces exemples, les APIs sont mises en œuvre par un prestataire pour répondre à sa stratégie de transformation digitale. La DSP 2 va au-delà en imposant aux prestataires un échange de données suivant la volonté du client final. Dans le cadre de cette évolution, l’Open Bank deviendrait-elle synonyme d’Open Data ?

L’Open Bank et l’Open Data

L’Open Data fait référence en droit français à l’ouverture au public de données numériques sans restriction sur le droit d’accès et la réutilisation. La base légale de ce mouvement repose sur l'ordonnance n° 2005-650 du 6 juin 2005 transposant la directive Open Data dans la « loi CADA » n° 78-753 du 17 juillet 1978. Plus de dix ans plus tard, il est aisé de constater que la loi informatique et libertés constitue encore un frein majeur à l’Open Data. En effet, l’Open Data permet à tout destinataire de réutiliser les données dans le cadre d’une finalité différente du traitement de donnée source, qui peut d’ailleurs ne pas être connue au moment de la réception des données. Cette réglementation n’a pas son équivalent en droit privé, car elle doit être motivée par des objectifs d’intérêt général. Le secteur bancaire n’est pas dans cette mouvance de « l’Open Data d’intérêt général ». Cependant, certaines initiatives pourraient avoir un impact sur le secteur bancaire et financier comme l’Open Data d’identification visant la création d’un e-identifiant harmonisé au niveau européen ou fixant des modalités d’échange entre prestataires de données de KYC (Know Your Client). Ces réflexions se traduisent à ce stade par le règlement eIDAS [3] permettant la promotion de e-signature et e-identification harmonisées au niveau européen.

Concernant les acteurs privés agissant pour leurs besoins propres et non dans le cadre d’un intérêt général, l’attente est forte comme le démontre le rapport d’IDC pour la Commission européenne [4] . Pour le secteur financier, les données bancaires ou les données d’identification constituent, en matière de data protection, des données sensibles et, en droit bancaire, des données protégées par le secret bancaire peu compatibles avec l’Open Data. La DSP 2 a néanmoins introduit un cadre légal d’échange de données bancaires. Le client, personne concernée par les données traitées, peut demander la transmission des données d’un prestataire de services de paiement gestionnaire de compte à un prestataire de services fournissant le service d’information sur les comptes (« PSP SIC ou agrégateurs ») ou un service d’initiation d’opérations de paiement (« PSP SIO ou initiateurs »). Il devient difficile de monétiser cet accès pour le gestionnaire de compte, dans la mesure où ce dernier n’est pas autorisé par la loi à conditionner l’accès aux comptes qu’il tient, à la conclusion de conditions générales ou de contrat par l’initiateur ou l’agrégateur. Sans contrat, aucun frais ne peut être facturé aux initiateurs et agrégateur. Seul le client détenteur du compte pourra être facturé.

L’ABE face à de multiples arbitrages

La DSP 2 donne mandat à l’Autorité bancaire européenne (ABE) pour prévoir les standards techniques relatifs à ces échanges de données (Article 98 2 de la DSP 2) [5] . La difficulté repose sur l’équilibre entre le niveau de sécurité approprié et la standardisation. La date d’effet des standards techniques est attendue pour automne 2018 [6] et il demeure de fortes incertitudes sur les protocoles permettant l’interaction entre les gestionnaires de comptes et les agrégateurs de données ou initiateurs d’opérations de paiement. Certains préconisent la neutralité technologique afin de ne pas entraver l’innovation. L’ABE doit-elle imposer réglementairement des standards internationaux (ISO 20022, ISO8583) ? Les gestionnaires de compte vont-ils créer des interfaces dédiées permettant une traçabilité de chaque connexion par les agrégateurs de données et les initiateurs d’opérations de paiement ? Les standards techniques vont-ils trancher la question du maintien ou non de la pratique actuelle reposant sur l’accès par le biais des interfaces clients des gestionnaires de compte (technique du web scraping) ? Toutes ces questions devront être tranchées pour une application au 3^e trimestre 2018. Ces évolutions ne sont juridiquement pas assimilables à de l’Open Data, telle que définie précédemment.

Le choix britannique de l’ouverture

À l’inverse, le Royaume-Uni semble s’en approcher. La Competition and Markets Authority’s (CMA) souhaite mettre en place début 2018 le concept d’Open Banking, entendu comme le partage des données des clients entre banques et tiers, permettant aux clients de gérer leurs différents comptes ouverts auprès de prestataires multiples au sein d’une seule et même application et de comparer les offres. Le Royaume-Uni semble donc parti sur un modèle fortement ouvert ce qui nous amène à mentionner la technologie de l’Open Source.

La technologie de l’Open Source [7] peut être citée comme une technologie utilisée dans le cadre de l’Open Banking. Certains acteurs proposent des offres reposant sur cette technologie permettant d’embarquer les logiciels nécessaires à la fourniture de services bancaires et de paiement [8] . Le fournisseur se positionne alors comme un prestataire technique aux services de sociétés disposant d’une licence bancaire ou de paiement.

Une chaîne de valeur mouvante

L’Open Bank peut reposer sur d’autres technologies, mais nous avons fait le choix de sélectionner que les principales, adressées par la réglementation européenne en matière de paiement. Ces technologies se développent dans tous les métiers de la banque. Elles déclenchent une révolution à grande vitesse pour tous les acteurs de la chaîne de valeur devant faire des choix rapides sur leur positionnement stratégique. Elle redistribue à nouveau les rôles entre les nouveaux entrants DSP 1, les banques et les nouveaux entrants DSP 2, dans lequel chaque acteur a une nouvelle carte à jouer sur cette chaîne mouvante. L’avocat doit repenser dans cette évolution tous les contrats partenaires, et anticiper les nouvelles réglementations alliant plus que jamais droit des nouvelles technologies et réglementation financière.