DSP2 : les API des banques françaises en retard… mais sur la bonne voie
Privés de vacances d'été. Les banques et agrégateurs ont dû travailler d'arrache-pied ces dernières semaines pour être prêts ce 14 septembre 2019, date de mise en application de la directive sur les services de paiement (DSP2). Précisément, le 14 septembre correspond à la date limite d'obtention d'une exemption de mécanisme d'urgence pour les banques ayant décidé la mise en place d'une API (toutes les grandes banques françaises ont choisi le mode API). Au-delà de cette date, tout établissement dépourvu d'exemption doit être pourvu d'un mécanisme d'urgence : le screen scraping sécurisé (une technique qui permet aux acteurs tiers d'accéder aux données d'un client d'une banque en utilisant ses codes d'accès et en étant bien identifié par la banque). "À défaut, la banque sera non conforme à la réglementation", prévient l'Autorité de contrôle prudentiel et de résolution (ACPR) sur son site.
Au final, seulement six banques ont été exemptées (liste ici), dont un seul grand groupe bancaire, le Crédit Agricole. Ce qui signifie que ces banques ont testé de façon concluante pendant au moins trois mois leurs API avec des TPP (third pary provider, c'est-à-dire les acteurs de l'agrégation et de l'initiation de paiement). Cette maigre liste n'est pas une grande surprise car le chantier DSP2 est très complexe. "Il y a des enjeux en termes d'infrastructures, de sécurité et de culture", rappelle Fabien Landry, directeur associé de Technospheris, prestataire de services dédié notamment aux paiements et au cash management.
"L'authentification forte a clairement mangé du temps sur le chantier des API"
La plupart des banques ont des systèmes informatiques assez anciens, pas forcément compatibles avec la DSP2. "Faire interagir de vieux serveurs avec la technologie récente qu'est l'API n'est pas simple", estime Lionel Vincke, managing partner d'Azzana Consulting, cabinet spécialisé dans la monétique, les moyens de paiement et le cash management. Pour BNP Paribas et Arkéa, les deux seules banques qui ont accepté de s'exprimer auprès du JDN sur le sujet "sensible" de la DSP2, les questions techniques n'étaient pourtant pas le principal challenge. "C'est un chantier complexe à cause du délai court. Entre le moment où nous avons eu la dernière version des RTS (les normes techniques de la DSP2, ndlr) et la mise en œuvre, il s'est passé très peu de temps", explique Christine Guillaumet, directrice adjointe de l'offre cartes et paiements innovants chez BNP Paribas. Les RTS ont été publiés en novembre 2018 mais leur contenu n'était pas très explicite. "Les clarifications de la part du régulateur sont arrivées tardivement. Du coup, c'était compliqué pour les banques de construire un environnement de production", admet Joan Burkovic, CEO de Bankin'.
Sans compter que les établissements bancaires devaient aussi s'occuper de l'autre volet de la DSP2, celui de l'authentification forte. "Il y a eu une petite erreur du législateur au départ de faire entrer en production en même temps l'authentification forte et l'ouverture des API. L'authentification forte a clairement mangé du temps sur le chantier des API", explique Thierry Dinard, directeur du développement commercial du cabinet spécialisé Syrtals. Côté TPP, il y a aussi eu du retard. Ils ont reçu leurs certificats courant juillet seulement. Ce graal, délivré par des acteurs tiers du marché, est indispensable pour tester les API dans un environnement de production. Il permet à la banque de savoir que c'est bien Bankin' qui se connecte à BNP Paribas par exemple.
50% des API françaises inutilisables
Selon une étude de l'agrégateur BtoB suédois Tink, 50% des API des banques françaises sont en production. Un chiffre confirmé par son concurrent français Budget Insight. Toujours d'après Tink, qui a testé toutes les API des grandes banques françaises, 20% des API DSP2 sont partiellement fonctionnelles et 10% sont opérationnelles. Les banques privées, petites banques et banques internationales, n'ont pas été testées par les TPP car elles représentent un flux faible voire inexistant chez eux. Certaines grandes banques françaises sont plus en avance que d'autres. Impossible de savoir lesquelles puisque les TPP ne souhaitent pas révéler leurs noms. BNP Paribas assure avoir mis son portail en ligne avec les API en mode test en mars et mis en production ses API début juillet. "Les TPP ont donc eu du temps pour les tester. A ce jour, peu de TPP les utilisent en production", fait remarquer Christine Guillaumet. Depuis juillet également, BNP Paribas a mis en place le screen scraping en mode sécurisé en cas de problème sur les API. Surtout, la banque française savait qu'elle n'allait pas être exemptée en raison du timing trop serré. Arkéa revendique pour sa part une plateforme simplifiée. "Notre portail présente nos API pour l'ensemble des entités du groupe, à savoir Fortuneo, Crédit Mutuel de Bretagne, max… . Certains TPP ont apprécié cette approche, car elle leur simplifie les travaux d'implémentations", explique Jean-Luc Dubois, directeur des flux d'Arkéa.
"Aucune API ne permet de faire un transfert majeur de notre trafic"
Globalement, le bilan n'est pas très bon, selon les fintech concernées. "Autant on avance très bien avec certaines banques, autant on bloque avec d'autres. Toutes les grandes banques ont bien avancé mais il y en une ou deux qui ne sont clairement pas prêtes", assure Jérôme Albus, CEO de Tink France. "Aucune API ne permet de faire un transfert majeur de notre trafic. On veut des API qui puissent vraiment nous permettre de faire notre travail correctement mais ce n'est pas possible dans l'état", confirme Clément Coeurdeuil, CEO de Budget Insight, "mais on va y arriver puisqu'on travaille désormais bien avec les banques", ajoute-t-il.
Pour Tink, la principale difficulté rencontrée se trouve au niveau de la documentation "pas très orientée développeurs. Les banques ont naturellement tendance à nous renvoyer vers la Stet (plateforme de compensation interbancaire française, qui a développé une API, ndlr) qui a publié une documentation mais comme elle est trop générique on se retrouve coincé quand on rentre dans les spécificités de chaque banque. On doit donc faire des aller-retour avec les banques, qui ne sont pas toujours réactives", raconte Jérôme Albus.
Il manque aussi certains éléments dans les API comme l'Iban, un document majeur pour les TPP. La directive stipule que la banque doit fournir l'Iban des comptes qui sont tenus dans la banque et l'Iban des bénéficiaires de confiance. Elle est cependant exonérée si elle ne fournit pas son Iban en clair sur son site bancaire (en html). C'est par exemple le cas de BNP Paribas, qui a donc décidé de ne pas le fournir aux TPP. "C'est pénalisant dans certains cas d'usage. L'Iban nous permet par exemple de faciliter les parcours des virements entre deux comptes de banques différentes", illustre Bruno Van Haetsdaele, patron de Linxo. Autre point noir : l'expérience client. "L'environnement de production n'est pas au niveau de ce qu'on attendait par rapport à l'expérience client. Elle va être dégradée dans un premier temps. Au lieu de faire une action en un ou deux clics, l'utilisateur va être basculé vers un autre site ou une autre application", explique Jérôme Albus.
"Sur les 12 pays où Tink est présent, les banques françaises tirent leur épingle du jeu sur un point : les sandbox"
Tout n'est pas à jeter. Les établissements bancaires françaises ont tout de même bien pris en main le sujet. "On voit des progrès rapides à plusieurs niveaux. Tout d'abord techniques. On est en mesure de signaler les problèmes sur les API et les banques font preuve d'une bonne réactivité pour les fixer. Au niveau du relationnel, on a fait un énorme pas en avant, on collabore avec les banques maintenant", tempère le CEO de Linxo, qui compte notamment à son capital Le Crédit Agricole et Arkéa… Plus facile pour échanger aussi. Même logique chez Budget Insight, racheté l'été dernier par Arkéa. Les établissements bancaires français ne semblent pas en retard. "Sur les 12 pays où Tink est présent, les banques françaises tirent leur épingle du jeu sur un point : les sandbox (les environnements tests, ndlr) sont très proches des environnements de production. Donc la migration est plus simple. Ce n'est pas du tout le cas dans d'autres pays", confie le CEO de Tink France. Un bon point, un.