[Info mind Fintech] DSP2 : le Crédit Agricole, seule grande banque française à être exemptée de mécanisme de secours par l’ACPR

Alors que les normes techniques réglementaires (RTS) de la DSP2 entreront en application le 14 septembre, le marché est loin d’être prêt, tant sur le volet d’ouverture des données de paiement que sur celui de l’authentification forte. Sur le premier point, alors que la plupart des grandes banques avaient déclaré avoir prévu la mise en place d’APIs conformes et comptaient donc être dispensées de l’obligation de proposer une solution de secours, seuls six établissements dont un grand groupe bancaire français ont obtenu un droit d’exemption auprès de l’ACPR. 

Selon nos informations, il s’agit du Crédit Agricole (pour les 39 Caisses régionales et la Banque Chalus), MUFG Bank (banque japonaise), Rothschild Martin Maurel, Qatar National Bank, Neuflize et BNP Paribas, mais uniquement pour sa succursale d’Allemagne (ConsorsBank et DAB) [cette liste a été mise à jour après publication officielle de l’ACPR, ndlr]. Il est toutefois possible que certaines banques, conformes, n’aient pas émis de demande d’exemption auprès de l’ACPR et qu’elles aient plutôt choisi de proposer en parallèle de l’API un mécanisme de secours. 

Des exemptions accordées sans tests en production

Ces exemptions posent cependant question : l’une des conditions édictées par les textes européens pour considérer que les APIs sont de bonne qualité et que la banque peut être exemptée de mécanisme de secours (fallback) est qu’elle soit “widely used”, soit “largement utilisée”, ce qui ne s’applique pas à la plupart des banques exemptées. “Le fallback est destiné à assurer la continuité de service donc l’exemption devrait n’être accordée qu’à des APIs qui ont pu être testées en production sur un nombre suffisant d’utilisateurs et qui ont fonctionné sans problèmes, ce qui n’est pas le cas de ces banques”, regrette Romain Bignon, CEO de Budget Insight, qui glisse que l’API du Crédit Agricole a par exemple connu un bug concernant le redirect il y a quelques jours. 

“L’évaluation de la condition “largement utilisée” des standards est très délicate”, répond-t-on du côté de l’ACPR [l’EBA a publié des recommandations sur le sujet, notamment pour les pays sans TPPs agréés pour tester les APIs, ndlr], et “si toutes les APIs exemptées n’ont pas fait l’objet de tests en production par les TPPs agréés en France, il s’avère que les banques en question ont bien mis à disposition leurs APIs en test dans des délais conformes à la réglementation, certaines ont pu faire tester ces dernières par des acteurs non français, ont corrigé les problèmes rencontrés lors des tests dans les meilleurs délais et ont démontré avoir mis en œuvre leurs meilleurs moyens pour que les TPPs procèdent à des tests en production.”

50% des APIs ne sont pas encore en production

Le CEO de Budget Insight assurait le 10 septembre dans un post que “seules 8% des APIs des établissements bancaires français testées se révèlent être conformes aux exigences de la nouvelle directive, 23% sont partiellement fonctionnelles, 4% non fonctionnelles” et “50% des APIs ne sont pas encore en production” – certaines, pas même en test, puisque des acteurs comme HSBC veulent se contenter du mécanisme de secours d’accès direct authentifié. Des chiffres confirmés par Bruno Van Haetsdaele, CEO de Linxo. Les deux dirigeants notent cependant une accélération des travaux de mise en conformité depuis quelques mois. Avec Bankin’, ils ont invité les banques à participer à un groupe de travail en début d’année pour pallier leur exclusion des groupes de travail DSP2 des banques. Une initiative qui a finalement permis aux TPPs de rencontrer des interlocuteurs opérationnels des banques. “Nous discutons activement avec toutes les banques et certaines sont vraiment réactives”, se réjouit Bruno Van Haetsdaele.

Reste que “certaines banques font preuve de mauvaise foi pour pénaliser les TPPs, notamment sur l’authentification forte”, regrette Romain Bignon. Le Crédit Mutuel, par exemple, a instauré une authentification forte systématique pour les comptes professionnels (la réglementation n’oblige qu’à une authentification forte tous les 90 jours). BNP Paribas, de son côté, ne présente pas les IBANs dans l’API. Et lors des premiers tests, le Crédit Agricole n’avait pas intégré les libellés des transactions cartes – aspect finalement modifié pour l’obtention de l’exemption.

D’autres acteurs ont mis en place un parcours d’enrôlement compliqué pour décourager le client, avec de nombreuses redirections ou de longs textes réglementaires à faire défiler. “Une banque belge demande même à l’utilisateur son IBAN pour s’enrôler”, décrit Romain Bignon. Qui ajoute : “globalement, les lignes ont tout de même largement bougé sur le sujet et de nombreuses banques ont construit des redirect fluides et beaucoup de problèmes techniques sont résolubles.” Les TPPs n’en ont en tout cas pas encore fini avec la tâche chronophage de recette des APIs des banques. 

Fallback ou web scraping ? 

L’ACPR accorde trois mois de délai aux TPPs à partir du 14 septembre, au vu du retard pris par le marché. Les certificats eIDAS par lesquels les TPPs doivent d’identifier, qu’il s’agisse des APIs ou du mécanisme de secours, n’ont d’ailleurs été délivrés qu’en juillet dernier. “Nous n’avons donc pu tester réellement les APIs qu’à ce moment-là, regrette Bruno Van Haetsdaele, et forcément, certaines choses ne fonctionnaient pas.” 

Et si de nombreuses APIs ne sont pas prêtes, les mécanismes de secours ne le sont pas non plus pour autant. “Seuls deux ou trois fallback avec authentification par certificat sont déjà en production”, souligne Romain Bignon. Le web scraping restera donc la solution, du moins dans un premier temps.