DSP2 : les banques et TPP avancent enfin… mais au ralenti
Encore un anniversaire pour la DSP2. Cette fois-ci, la directive sur les services de paiement fête les un an de la mise en application des normes techniques de réglementation (RTS). Ces RTS, qui n'étaient pas très explicites lors de leur publication fin 2018, ont fait l'objet de nombreuses critiques de la part des acteurs tiers (les TPP), que sont Bankin', Budget Insight ou encore Linxo. Mauvaise expérience client, absence d'accès à certaines informations bancaires, redirection automatique vers l'application de la banque… Surtout, les migrations des clients de la méthode de screen scrapping (une technique qui permet de se connecter à l'interface en ligne de la banque) à celle de l'API n'en était qu'aux balbutiements.
Où en est-on aujourd'hui ? Toutes les grandes banques françaises ont sorti leurs API mais toutes ne sont pas fonctionnelles ou complètes. Du moins aux yeux des TPP. Car chaque acteur a sa propre définition d'une "bonne" API. "L'ACPR et la Banque de France de France ont bien joué le rôle d'arbitre pour convenir ce qu'était une API de qualité. La difficulté de ce chantier est qu'à chaque parution d'un nouveau texte (des clarifications du régulateur européen par exemple, ndlr), il y a toujours plusieurs interprétations possibles", souligne Erwan Guigonis, chief of staff de 89C3 Factory, le pôle digital du Groupe BPCE. "Certaines API ne sont pas très stables ce qui peut dégrader l'expérience client. Mais les banques avec qui nous travaillons en ont conscience et jouent le jeu", assure Jérôme Albus, directeur France de l'agrégateur Tink. Et elles investissent en conséquence. Près des deux tiers (64,5 %) des institutions financières françaises dépensent plus de 100 millions d'euros dans l'open banking, d'après une étude de Tink. La France est l'un des pays européens qui consacre le plus de dépenses en la matière, toujours selon cette étude.
"Depuis janvier, BPCE voit une vraie accélération de la consommation de ses API"
Ces investissements paient. "Depuis janvier, on voit une vraie accélération de la consommation de nos API. Jusqu'alors, on était en test", témoigne Erwan Guigonis, qui précise qu'une vingtaine de TPP peut échanger avec BPCE de façon industrielle. Les tiers commencent à migrer les clients des grandes banques françaises sur les API. Budget Insight est en production avec cinq d'entre elles, quatre au Luxembourg et quatre en Belgique. "Nous nous concentrons sur les banques les plus utilisées", indique Bertrand Jeannet, secrétaire général de Budget Insight. Mais la start-up français maintient en parallèle le scrapping. "On ne peut pas se permettre de migrer vers une API même si elle est supposée être fonctionnelle. On veut être sûr que ça ne casse pas nos cas d'usage", ajoute-t-il. Les acteurs tiers sont dans leur droit. En juin dernier, l'Autorité bancaire européenne (EBA) a publié un document précisant que les TPP peuvent ne pas utiliser les API étant donné que la majorité d'entre elles "présentent des obstacles en termes de redirection". "Cela légitime le fait que de nombreuses API ne sont pas conformes en termes de fluidité de parcours", observe Bertrand Jeannet.
Pour éviter d'utiliser des API non fonctionnelles, Bridge (l'entité BtoB de Bankin') a développé Parallel Run, une méthode qui consiste à faire fonctionner simultanément les connexions via les API DSP2 et le screen scraping. Cela permet de migrer les utilisateurs vers les API PSD2, d'analyser les performances de ces API et d'utiliser les connexions en scrapping comme une sauvegarde si nécessaire. "Si l'API marche très bien, tant mieux, sinon on se doit de passer en accès direct (screen scrapping, ndlr)", illustre Joan Burkovic, CEO de Bankin'. Plusieurs centaines de milliers d'utilisateurs ont été migrés sur cette méthode.
L'épine de l'authentification forte
Ce que le document de l'EBA ne mentionne pas et qui inquiète toujours les TPP est l'authentification forte, ou authentification à double facteur, qui renvoie systématiquement vers l'application de la banque. Sans compter qu'il faut se ré-authentifier tous les 90 jours. "Nous sommes des acteurs régulés mais nous ne pouvons même pas gérer l'authentification de nos utilisateurs", regrette Bertrand Jeannet. La redirection a tendance à faire chuter les taux de conversion et d'usage. "On arrive parfois sur des parcours avec deux authentifications fortes de suite. Quand un utilisateur veut faire un paiement, c'est très long", lâche Joan Burkovic. "Pour agréger des comptes, on se retrouve avec un parcours qui dure entre 30 secondes et 1 minute alors qu'il devrait durer à peine 10 secondes. On sait que de nombreux utilisateurs finaux vont abandonner", complète le secrétaire général de Budget Insight, qui fait actuellement des développements supplémentaires pour faire en sorte que l'utilisateur ne soit pas redirigé vers la banque si le parcours n'est pas fluide.
Une solution tolérée par le régulateur jusqu'à ce que le parcours soit optimal. "Je comprends la remarque des TPP, l'authentification forte n'est agréable pour personne. Sur la délégation de l'authentification forte, on a un sujet de responsabilité. Au final, s'il y a un problème, c'est la banque qui es responsable", se défend Erwan Guigonis. Certaines TPP veulent réécrire les RTS (comme le texte le permet) pour avoir la main sur l'authentification forte mais ce processus prendra plusieurs mois. "Et pendant ce temps-là, on ne favorise pas l'émergence du marché européen. Et les Américains vont arriver avec de gros moyens une fois que nous aurons bien travaillés", prédit Joan Burkovic.
"Pour agréger des comptes, on se retrouve avec un parcours qui dure entre 30 secondes et 1 minute au lieu de 10 secondes"
D'autres améliorations sont encore à travailler, comme l'agrégation des comptes professionnels. "Nous avons beaucoup focalisé sur le retail bien que la plupart des API AIS (acronyme pour désigner l'API d'agrégation de comptes, ndlr) des banques ont un volet perso et pro", avoue Joan Burkovic. Un choix pénalisant car l'agrégation de comptes a plus de valeur pour une entreprise que pour un consommateur. Peu de Français sont multi-bancarisés alors que toutes les entreprises le sont. "C'est la catastrophe, ça ne marche pas", lâche Pierre-Antoine Dusoulier, CEO d'Ibanfirst, fintech spécialisée dans le paiement multidevise pour entreprises et qui a mis en place de l'agrégation de comptes au sein de sa plateforme. "Notre service est accessible mais on a dû écrire entre parenthèse que l'accès aux comptes externes n'est pas garanti. Nous réfléchissons à d'autres moyens mais cela demande beaucoup de développements", souligne le patron.
Autre chantier en vue : l'initiation de paiement, qui permet par exemple aux consommateurs d'effectuer des virements entre leurs comptes au sein d'une seule application. "On a beaucoup creusé le cas d'usage de l'agrégation, la place française est d'ailleurs en avance sur le sujet. Par contre, on est moins avancé sur partie I'initiation de paiement, on découvre seulement les cas d'usage. Pour notre part, nous regardons ce qui se fait depuis février", confirme Erwan Guigonis. Contrairement à d'autres pays européens qui ont recours à ce moyen de paiement depuis plusieurs années, la France est en retard en raison du fort usage de la carte bancaire. Tink assure de son côté entrer en production "très prochainement" sur ce sujet.
La fin du chantier DSP2 ne risque pas d'arriver très prochainement mais les migrations vers les API, si. "Tout le monde a fait le deuil de la DSP2. On en a moins jusque fin 2020 pour intégrer les grandes banques françaises et début 2021 pour les petites et moyennes banques", avance Bertrand Jeannet. "Je ne suis pas certain qu'il y aura des changements énormes cette année sur l'expérience client et le parcours intégré. On espère juste plus de stabilité et de performance sur les API", nuance Jérôme Albus. Rendez-vous au prochain anniversaire.