Une coopération plus étroite est nécessaire sur les API

« Certains ont bien fait le travail, d’autres l’ont bâclé. » C’est le constat de Romain Bignon, chief executive officer (CEO) et cofondateur de Budget Insight, après la publication, le 14 mars, par les banques de leurs interfaces de programmation (API) pour l’accès aux comptes des clients à des fins d’agrégation de comptes ou d’initiation de paiement, en application de la directive européenne sur les services de paiement révisée (DSP2). « Nous avons testé les API des banques avec lesquelles nous avons une relation commerciale, mais cela reste dans des environnements de test : les portails et la documentation sont jolis mais les données sont fictives et pauvres. Nous ne sommes pas en conditions réelles et n’avons aucune assurance que les API de production fonctionneront correctement. » Un groupe de travail composé de banques et de fintech a permis de s’accorder sur les données à partager et les cas d’usage. Certaines banques avaient testé leurs API en amont avec Linxo ou Budget Insight, avec lesquels elles entretiennent des relations commerciales. Mais peu de fintech se sont présentées pour des tests.

C’est le début d’une coopération à laquelle tout le monde a intérêt : si les fintech n’obtiennent pas la même qualité de service avec les API qu’avec le web scraping, leurs évaluations risquent d'être négatives. Les banques ne pourront alors pas justifier auprès de l’Autorité de contrôle prudentiel et de résolution (ACPR) leur demande d’exemption de « fallback option » (option de secours). Si les positions ont évolué, le terrain reste miné. L’ACPR a dû trancher en faveur de la transmission aux fintech de l’Iban (International bank account number), considéré comme une donnée sensible et sans lequel celles-ci ne peuvent rendre leur service. Les API de production doivent être prêtes le 14 septembre. « Nous sommes dans un sprint qui nous a donné de l’avance pour fournir de bonnes API et devrait nous permettre d’être exemptés de l’option ‘fallback’, explique Jérôme Léger, responsable du data management du Crédit Agricole. Il nous reste juste à terminer les tests avec les TPP (Third party payment, NDLR). Nous devons réussir cette partie réglementaire avant d’aller au-delà. » D’autres sont attentifs à la perception de leurs clients. « Notre objectif est d’offrir une vraie qualité de service. Si quelque chose ne fonctionne pas, la banque sera considérée comme responsable alors que nous ne fabriquons pas le service », souligne Hugues Mercier, responsable offre et back-office paiement du Crédit Mutuel Arkéa.

Authentification forte

Mais le vrai sujet est ailleurs. L’authentification forte des utilisateurs devra avoir lieu tous les 90 jours. « Si le client agrège cinq banques, il va devoir s’authentifier auprès de chacune d’elles, détaille Gildas Pontoizeau, directeur DSP2 de La Banque Postale. Ça pourrait le pousser à réduire le nombre de banques. Mais comme la plupart sont aussi agrégateurs, elles seront confrontées au même problème. » Les fintech souhaiteraient se voir déléguer cette authentification, à l’instar du parcours qu’elles proposent actuellement via l’empreinte digitale sur smartphone. Mais peu de banques y sont favorables. Il va falloir trouver des solutions pour préserver la fluidité des parcours, d’autant que l’ACPR a rappelé que l’authentification ne devait pas constituer une entrave. Les relations bilatérales sont un moyen d’y parvenir mais sortent du cadre de la directive. En outre, les API ne donnent accès qu’aux comptes de paiement, les fintech continueront donc d’utiliser le web scraping pour les comptes de crédit et d’épargne et devront faire fonctionner deux systèmes de connexion en parallèle. Pour Joan Burkovic, CEO de Bankin’, « l’existence même des TPP indépendants servant les particuliers risque d’être remise en cause ». Sauf si les banques décident de jouer le jeu. Certaines regardent déjà au-delà de la DSP2. « Nous pouvons aller bien plus loin que l’accès aux comptes, indique Erwan Guigonis, responsable de la plate-forme open banking du Groupe BPCE. Natixis Payments propose déjà des API d’encaissement pour compte de tiers et la Caisse d’Epargne met à la disposition de certains courtiers partenaires sa grille de taux de crédit immobilier pour faciliter les souscriptions. Demain, ces services seront accessibles sur étagère. C’est à nous de les ‘marketer’ pour attirer de nouveaux distributeurs de nos produits. » Et en faire un vrai business.