DSP2 : vogue la galère !

Un an après la date du 14 septembre 2019 qui devait sonner l'utilisation massive des API DSP2 des banques, la part de connexions basculées sur les API DSP2 par les TPP reste relativement faible.

Où en sommes-nous de la mise en application de la DSP2 et de sa promesse d’innovation dans le secteur financier (open banking) ? Force est de constater qu’il y a encore beaucoup à faire. En effet, un an après la date du 14 septembre 2019 qui devait sonner l’utilisation massive des API DSP2 des banques, la part de connexions basculées sur les API DSP2 par les TPP reste relativement faible. Pourquoi ? Sommes-nous vraiment entrés dans cette ère de l’open banking qui doit permettre à l’ensemble des acteurs innovants de se connecter aux services de la banque ?

Des avancées ...

Soyons positifs et soulignons tout d’abord que des avancées ont eu lieu ces derniers mois, en France même si un certain "plateau" apparaît et que le nombre de requêtes faites sur les API AIS (informations sur les comptes) DSP2 des banques ne croît que très lentement sur les trois derniers mois. La situation de crise sanitaire et la période estivale expliquent en partie cela.

Sur les API PIS (initiation de paiement) en revanche la dynamique est positive et le nombre de requêtes augmente de façon plus significative. Cela s’explique aussi par le fait que les TPP ont finalement décidé d’avancer sur les API PIS en attendant que les banques corrigent les points bloquants que présentent leur API AIS en accord avec la publication de l’Autorité bancaire européenne (EBA) de juin dernier.

La multiplication des points de rencontre entre banques et TPP au sein du CNPS (Comité national des paiements scripturaux) explique en grande partie ces avancées. En effet, ces réunions mensuelles ont permis d’évacuer plusieurs points de blocages ou d’incompréhensions. Parmi eux :

  • La confirmation par l’ACPR que les banques doivent transmettre l’Iban du payeur aux TPP lors de l’initiation de paiement ;
  • La confirmation par l’ACPR que les comptes de personnes protégées (mineurs, tutelles, curatelles) doivent être intégrés dans l’API dès lors qu’ils sont disponibles au travers des interfaces de banque en ligne ;
  • La confirmation par l’ACPR que l’exemption de solution de secours sur les API ne pourra être accordée aux établissements qui n’assurent pas une redirection fluide ;
  • La confirmation par l’ACPR que l’API doit proposer la même offre d’émission de virement que l’espace de banque en ligne. Si l’enregistrement préalable d’un bénéficiaire est nécessaire à l’émission d’un virement sur la banque en ligne, alors cette fonctionnalité doit être proposée aux PISP via l’API.

La publication de l’EBA du 4 juin dernier sur les obstacles à la fourniture de service par les TPP est également venue confirmer et clarifier certains points d’achoppement, mais pas tous...

…mais encore du travail

Malheureusement cette publication et les différents groupes de travail à l’échelle nationale ou européenne n’ont pas tout résolu.

Voici quelques problèmes qui restent bloquants aujourd’hui :

  • De nombreuses banques françaises imposent une SCA (authentification forte) toutes les 24 heures pour les comptes personnels et/ou entreprises. En pratique, même si un client ne se connecte pas pendant plusieurs jours, il est indispensable que nous puissions continuer à rafraîchir ses données sans que le client déconnecté reçoive une SCA tous les jours. Avec la limitation de la durée de validité du token à 24 heures, notre service est tout simplement inutilisable et perd tout son sens ! Consciente de cette entrave, la Bafin (autorité nationale compétente en Allemagne) permet une validité du token pendant 90 jours même si la banque a fait le choix de la SCA systématique pour l'accès du client à la banque en ligne. Espérons que l’ACPR s’aligne sur cette décision de nos voisins allemands ;
  • Les parcours app-to-app n’ont pas encore été généralisés au sein des banques et les "redirect" s’apparentent (souvent) à des parcours du combattant pour les utilisateurs finaux. Nos premiers taux de conversion sont catastrophiques (seulement 30 à 40% de réussite !).
  • L'authentification forte et surtout son renouvellement des 90 jours restent à la main des banques. L’EBA a décidé … de ne pas décider dans sa publication du 4 juin dernier et cela reste le principal obstacle à la prestation de nos services car il a un impact dévastateur sur le taux de conversion ! Nous sommes établissement de paiement agréé et présentons toutes les garanties nécessaires pour "porter" le risque et donc gérer (à minima) le renouvellement des 90 jours.

Les perspectives

Malgré ces sujets encore ouverts, l’EBA et sa publication du 4 juin dernier sont venus préciser ce qui doit être considéré comme un obstacle et qui doit être corrigé par les banques. 

Sur la base de ces éléments, la Banque de France et l’ACPR jugent que la migration doit impérativement s’accélérer, dès lors que l’ensemble des points bloquants ont été identifiés et corrigés. Ainsi, l’ACPR et la Banque de France attendent des banques de la place la réalisation d’un calendrier de correction des points de blocage afin de pouvoir accélérer la migration vers les API.

Les TPP ont également préparé un calendrier de migration précisant les délais attendus de migration complète de leurs clients vers les API lorsque les points bloquants auront été levés.

Conscientes des hésitations et tâtonnements de ces 12 derniers mois, la volonté des autorités françaises et européennes est d’accélérer très franchement la migration vers les API DSP2. Elles ont donc insisté sur l’importance de se fixer un objectif temporel qui engage banques et TPP vis-à-vis des autorités.

Attention spoiler, voilà ce qu’il risque de se passer sur les prochains mois :

  1. Nous, TPP, allons donc accélérer la migration sur des API qui ne sont (pour la grande majorité) pas suffisamment fonctionnelles avec des parcours d'authentification et de réauthentification à rallonge.
  2. Nos taux de conversion et donc notre nombre de connexions vont chuter de façon significative. Directement liés à l’usage de nos technologies, nos revenus vont également s'effondrer.
  3. Nous allons publier chiffres et statistiques qui démontreront qu’en l’état les API DSP2 et le renouvellement de SCA tous les 90 jours sont des obstacles majeurs à la prestation de nos services.
  4. Certains TPP ou clients de TPP n’ayant pas les "reins suffisamment solides" vont faire faillite et ne pourront pas faire face à cette dégradation de leurs services.
  5. L’objectif premier de la DSP2 de favoriser l’innovation ne sera qu’un lointain souvenir, évanoui dans les couloirs de nos chères instances européennes.

Ce scénario est volontairement alarmiste mais il est malheureusement proche de la réalité. Imposer la migration vers les API alors même que certains points bloquants n’ont pas encore été arbitrés, n’a aucune logique de marché, c’est juste le moyen de ne pas perdre complètement la face pour les banques et les autorités compétentes…

Si l’on souhaite faire de l’open banking une révolution permettant un foisonnement d’innovations et l’émergence de nouveaux acteurs en Europe : ne nous précipitons pas et admettons qu’il s’agit d’un changement de paradigme qui doit passer par un processus itératif.