DSP2 : les API des banques sont en ligne... sauf avec les attentes
Le calendrier de la DSP2 est un casse-tête à lui tout seul. La directive sur les services de paiement est entrée en vigueur le 13 janvier 2018 mais ne sera appliqué pleinement qu'en septembre 2019… si tout se passe bien. Entre temps, d'autres deadlines tombent progressivement, dont celle déjà passée du 14 mars 2019. A cette date, les banques devaient avoir mis à disposition un portail d'API tests dédié aux développeurs afin d'éviter la solution de repli qu'est le screen scraping (une technique qui permet d'accéder aux données d'un client d'une banque en utilisant ses codes d'accès). Un mécanisme considéré comme peu sécurisé par les institutions financières.
Mais se rendre sur ces les portails d'API n'est pas chose aisée. "L'information est difficile à trouver, même pour les TPP (third pary provider, c'est-à-dire les agrégateurs et initiateurs de paiement, ndlr)", confirme Joan Burkovic, fondateur de Bankin'. Le JDN a donc contacté les grandes banques françaises pour savoir si elles ont déployé leur portail, l'adresse de celui-ci et combien d'API ont été mises en ligne.
Résultat : le portail le plus garni en API DSP2 est celui du Crédit Mutuel qui en compte dix à son compteur, suivi de près par BNP Paribas (9) et Société Générale (7). Le Crédit Agricole n'en compte qu'une mais celle-ci englobe les cinq fonctionnalités nécessaires. Mais quantité n'est pas gage de qualité. Les trois principaux agrégateurs français ne sont pas pleinement satisfaits des API proposées, souvent parce qu'elles sont incomplètes. "Certaines banques se permettent même de ne pas transmettre l'IBAN car c'est un élément qu'elles considèrent comme trop sensible alors que c'est une donnée stratégique pour nous et dont l'accès augmente le niveau de sécurité", nous confiait Clément Coeurdeuil, CEO de l'agrégateur BtoB Budget Insight, en janvier dernier. Les TPP ne trouvent pas non plus leur compte d'un point de vue purement technique. "Une fintech et une banque ont des définitions très différentes d'une API qui fonctionne", a lâché Joan Burkovic, lors d'un évènement fintech organisation par l'association ACSEL en mars. "Or, si une API est mal faite, elle n'est pas sécurisée."
| Type d'API DSP2 | Fonction |
|---|---|
| Account information | Récupérer les informations sur un compte de paiement (solde, transactions….) |
| Payment initialisation | Exécuter un virement d'un compte externe |
| Fund confirmation | Vérifier en temps réel la disponibilité des fonds sur un compte |
| Beneficiaries | Obtenir la liste des bénéficiaires |
| End user identity | Obtenir l'identité du titulaire du compte |
Cette période de test doit durer un mois. Dès le 14 avril 2019, rappelle l'Autorité de contrôle prudentiel et de résolution, les banques devront mettre à disposition une "API répondant aux conditions d'utilisation étendue telles que définies par les standards sécuritaires et les orientations de l'ABE (l'Autorité bancaire française, ndlr)". En effet, pour que le dossier d'exemption, qui permet d'éviter la solution de repli, puisse être qualifié de complet lors de son dépôt à l'ACPR le 14 juillet 2019, "le PSPGC (prestataires de services de paiement gestionnaires de comptes, c'est-à-dire les banques, ndlr) devra être en mesure de prouver à cette date que son interface a fait l'objet d'une utilisation étendue conformément aux orientations de l'ABE durant les 3 mois précédents". Réponses le 14 avril.
| Account information | Payment Initialisation | Fund confirmation | Beneficiaries | End user identity | |
|---|---|---|---|---|---|
| Arkéa | x | x | x | x | x |
| BNP Paribas | x | x | x | x | |
| Banque Populaire | x | x | x | x | |
| Caisse d'Epargne | x | x | x | x | |
| Crédit Agricole | x | x | x | x | x |
| Crédit Mutuel | x | x | x | x | x |
| HSBC France | x | x | x | ||
| La Banque Postale | x | x | x | x | |
| Société Générale | x | x | x |