Les API portent l'innovation dans les banques

le 15/09/2016 L'AGEFI Hebdo

Les interfaces de programmation permettent d’ouvrir les systèmes d’information mais nécessitent un vrai changement de culture.

Les API portent l'innovation dans les banques
(Fotolia)

Avec les API, bienvenue dans un monde ouvert. Les « application programming interfaces » sont des interfaces de programmation permettant d’accéder à des informations ou à des services dans le système d’information d’une entreprise. Elles sont la clé d’un monde interconnecté dans lequel, grâce au web, toute société peut ouvrir ses fonctions métiers à d’autres. Certains grands acteurs de l’internet comme Expedia ou Salesforce réalisent déjà plus de la moitié de leur chiffre d’affaires à travers des API. Dans le domaine bancaire aussi, ces interfaces sont devenues un sujet de préoccupation. La vague d’innovation qui déferle sur le secteur financier pousse les banques à s’ouvrir pour intégrer le mouvement.

Créer une API, c’est accepter de laisser la main à d’autres sans renoncer à servir ses clients. « L’intérêt des API est de pouvoir construire à partir des produits des autres, explique Eric Horesnyi, chief executive officer (CEO) de Streamdata, qui diffuse des données financières en temps réel via une API et compte parmi ses clients BNP Paribas, La Banque Postale et d’autres banques françaises. Mais la vraie course n’est pas technologique, elle se joue sur l’expérience utilisateur. Les gagnants sont ceux qui connaissent bien leurs utilisateurs et comblent leurs besoins. Les API sont un moyen d’aller vite et de distancer ses concurrents en exposant des services à des programmeurs externes. C’est une évolution structurante pour le monde numérique. » Par ailleurs, les banques devront ouvrir l’accès aux comptes à des tiers dès 2018 en application de la deuxième directive sur les services de paiement qui devient un accélérateur de changement.

Pour les accompagner dans cette approche, la société allemande Tesobe a lancé en 2012 OpenBankProject (OBP) et propose un catalogue d’API, un environnement de test et une communauté de 5.000 développeurs. « Nous apportons un standard, un modèle de données, une plate-forme déployable en interne dans les banques, et un accès à une communauté mondiale de développeurs fintech, expose Ismail Chaib, directeur opérationnel de Tesobe / Open Bank Project. C’est un moyen de transition d’une architecture rigide et fermée vers les standards du web, beaucoup plus simples à utiliser et accessibles à un grand nombre de développeurs. » Car en donnant à d’autres le moyen de bâtir des services à partir des leurs, les banques se mettent en position de devenir des plates-formes distribuant toutes sortes d’applications via leur propre « appstore ».

Réactivité

C’est ce qu’a fait le Crédit Agricole en lançant le CAstore en 2012 avec l’ouverture d’une API aux développeurs externes et la création d’une coopérative de développeurs. En trois ans, cinquante applications sont nées dont un tiers développées par la banque elle-même, un tiers par des développeurs externes sur commande d’une caisse régionale et le dernier tiers par des développeurs externes en toute indépendance. La banque certifie elle-même les applications proposées avant de les rendre disponibles sur le CAstore. Quels enseignements en tirer ? « Les API apportent de la réactivité. En quinze jours, nous avons été la première banque au monde à sortir un service sur l’Apple TV, se réjouit Emmanuel Méthivier, directeur du CAstore. Notre objectif désormais est d’exposer davantage d’API et d’étendre le périmètre des API internes, pour élargir le champ des possibles. » Le Crédit Agricole a senti venir la vague mais toutes les banques n’ont pas la même posture.

Bruno Cambounet, vice-président des solutions banque finance d’Axway, constate trois attitudes parmi ses clients. Certaines banques voient la DSP2 comme un stimulant pour la stratégie « digitale » simplifiant la combinaison des services internes et externes pour améliorer l’expérience client. D’autres y voient surtout des risques et préfèrent attendre la publication des standards de sécurité (lire l’encadré) avant de se lancer. Et d’autres encore en profitent pour moderniser leur système d’information en recomposant leurs services pour mieux les intégrer avec ceux de leurs partenaires. « Pour cela, il leur faut identifier les services élémentaires internes utilisables dans la construction de services enrichis, détaille-t-il. Elles devront orchestrer de nouveaux chemins en agrégeant des services internes et externes. Moyennant une réflexion fonctionnelle et technique sur leur offre, elles pourront innover sans refondre complètement leur système d’information. » Ainsi, la création d’API est autant un moyen d’innover que de poursuivre la transformation de leur système d’information.

Chez BPCE, par exemple,  on utilise autour de mille API en interne, dans le cadre d’une architecture producteur-distributeur : les réseaux de distribution ont ainsi accès aux données des clients et aux services des multiples filiales du groupe. C’est via sa filiale de paiement électronique S-money que le groupe a décidé d’ouvrir une API externe pour permettre à d’autres sites web qui ont besoin d’encaisser des paiements d’utiliser ses fonctionnalités et son infrastructure. « Les API et les processus de sécurité nous donnent les moyens d’ouvrir notre système d’information à tout un écosystème et ainsi de créer de la valeur pour nos clients, résume Philippe Poirot, directeur du développement digital, transformation et qualité de BPCE. C’est aussi un moyen d’urbaniser notre système d’information quitte à devenir, comme d’autres acteurs du web, une plate-forme. Car le sujet n’est pas tant l’ouverture avec ses aspects techniques que la création de valeur. » Une banque peut augmenter sa communauté d’utilisateurs en mettant à disposition son savoir-faire par ses API mais aussi s’ouvrir au savoir-faire d’autres sociétés en intégrant leur API dans son parcours utilisateur.

Des agrégateurs agréés

C’est tout l’enjeu de la DSP2 et des fintech qui proposent déjà l’agrégation de comptes, base d’autres services innovants. En l’absence d’API bancaires, les agrégateurs collectent les données bancaires de leurs utilisateurs par « web scrapping », en utilisant leurs identifiants et mot de passe. Pas très académique mais pratique en attendant qu’une formule plus adaptée et cadrée sur le plan réglementaire voie le jour. Les agrégateurs devront d’ailleurs être agréés pour continuer leur activité sous la DSP2. Pour l’heure, une fois ces données collectées et traitées, les agrégateurs ouvrent des API pour que d’autres diffusent leurs propres services. « Nous travaillons par exemple avec des experts-comptables, des éditeurs de logiciels comptables, une banque, et même des ‘robo-advisors’, notamment à travers LaFinBox, l’agrégateur patrimonial que nous avons fondé avec SwissLife, raconte Clément Coeurdeuil, CEO de Budget Insight. Une cinquantaine de partenaires sont branchés sur notre API. Notre objectif est maintenant de donner la possibilité aux utilisateurs de réaliser des virements ou des arbitrages à partir de leur application, ce qui nous demande un niveau de sécurité accru. » De son côté, l’API Linxo est utilisée par Grisbee, un service de diagnostic patrimonial personnalisé qui donne des recommandations, par Birdycent qui propose d’arrondir ses dépenses pour épargner dans une cagnotte dédiée à un projet, ou encore par OneUp qui automatise la comptabilité des PME. Linxo est également partenaire de Fortuneo, de BforBank, de HSBC mais aussi de la Maif qui a lancé Nestor, son propre agrégateur dans l’idée de se rapprocher de ses clients avec des contacts plus fréquents pour mieux les équiper avec ses propres produits, mais aussi avec ceux des autres acteurs via le courtage. La demande de partenariats est forte. « L’enjeu pour nous est donc de constituer une communauté de développeurs pour pouvoir répondre à toutes les demandes », indique Bruno Van Haetsdaele, fondateur de Linxo.

Car exposer une API n’est que le début du chemin. Encore faut-il la faire connaître et donner un support à ceux qui veulent s’en servir : une documentation, des outils de tests, une zone de travail collaboratif pour poser des questions et échanger. « Chez Slimpay, nous avons même un ‘API evangelist’ pour aider les développeurs extérieurs », souligne Jérôme Traisnel, CEO de Slimpay. Les banques aussi devront mettre en place des équipes de support pour leurs API externes. Mais si chacune déploie sa propre interface sans qu’il y ait eu de standardisation sur le langage ou sur la sécurité, les fintech auront bien du travail pour les intégrer.

Les standards de sécurité en question

Une version provisoire des RTS (standards techniques réglementaires), définissant de quelle façon la sécurité de l’accès aux comptes bancaires doit être assurée, a été publiée le 12 août. L’Autorité bancaire européenne les met ainsi à la disposition des acteurs dont elle attend les remarques d’ici au 12 octobre. Quelques points ont déjà fait réagir les agrégateurs. En premier lieu, la nécessité d’une authentification forte mensuelle pour pouvoir continuer à utiliser le service, ce qui pourrait avoir un impact négatif sur les utilisateurs. Et en second lieu, la limitation à deux connexions par jour au système d’information de chaque banque, ce qui va à l’encontre d’une vision en temps réel de l’état de ses comptes pour l’utilisateur. Ces deux points sont censés assurer la sécurité contre d’éventuelles fraudes et contre un engorgement des canaux d’accès aux banques, mais ils constituent des handicaps à une utilisation fluide et pratique des agrégateurs. Ce qui ne leur fait pas peur : « Les barrières finissent toujours par tomber face aux usages », dit l’un d’entre eux. Pour rappel, Bankin’ a dépassé le million d’utilisateurs et Linxo (photo) aussi il y a quelques jours. En outre, même si le chiffre semble encore modeste, c’est le service fintech le plus connu des Français, selon Deloitte, avec 9 % d’utilisateurs.

Sur le même sujet

A lire aussi