Bruno Cambounet (Axway) : “la proposition d’API publiée par la STET pour la DSP2 est incomplète”

Vous suivez de près les évolutions autour de la DSP2 puisque Axway travaille activement sur le sujet de l’Open Banking avec ses clients. Vous avez notamment participé aux groupes de travail sur l’open banking au Royaume-Uni. A quelques mois de l’entrée en vigueur de la directive, quel état des lieux pouvez-vous dresser ?

D’un point de vue législatif, on arrive dans une phase de maturité. Les actes délégués sont en train d’être votés ou ont été votés dans les différents pays européens. Mais au-delà, la mise en place technique de la directive est loin d’être arrêtée . Les RTS [standards techniques, ndlr] de l’Autorité bancaire européenne (EBA) définissent la technique au sens métier, pas au sens informatique.  Même si ces RTS positionnent les technologies d’APIs, ils n’en définissent pas le contenu ni comment elles doivent être appliquées.

Par ailleurs, ils n’ont pas encore été validés par la Commission européenne et même s’ils l’étaient avant la fin de l’année, il faudra encore attendre 18 mois avant qu’ils ne soient applicables et imposables. Pendant au moins un an et demi, de nouveaux acteurs réglementés pourront opérer en toute légalité dans le cadre de la Directive sans que les RTS ne soient reconnus et appliqués.

Quels sont les standards en voie d’émerger en Europe ?

En Angleterre le sujet de l’open banking a été pris en main très tôt. Dès 2014, le groupe de travail monté par la trésorerie du royaume a défini le cadre de mise en place de l’open banking au Royaume-Uni. Ensuite, l’Autorité de la concurrence a analysé les barrières liées à la compétitivité des entreprises et à l’innovation.

Elle a constaté que les acteurs innovants n’avaient pas accès aux données personnelles des comptes bancaires des clients. L’Autorité a alors imposé aux neuf plus grandes banques anglaises de se mettre d’accord pour mettre en place d’ici janvier 2018 un standard d’API, dans un schéma de gouvernance ouvert (avec les néo banques, les “third party providers” ou TPP, les software providers comme Axway…).

Ce qui est important, c’est que l’Autorité de la concurrence a demandé à ce que soient définis non seulement les standards techniques des API mais aussi le parcours client, pour qu’il reste fluide, et les responsabilités des acteurs. L’Angleterre montre que c’est possible : une version 1 des standards d’open API et de gouvernance est sortie en mars 2017, puis la version 1.0 de l’ensemble des API, notamment celles relatives à la DSP2, en juillet, puis la 1.1, avant la 1.2 en janvier 2018.

N’aurait-t-on pas pu imaginer une concertation européenne ?

Quand on voit tout le travail effectué entre 2014 et 2017 au Royaume-Uni pour mettre en place une gouvernance qui fonctionne et créer les groupes de travail, je comprend qu’au niveau européen, vouloir imposer le même genre de choses aurait été un casse-tête infernal.

D’autres initiatives sont nées depuis. Le NextGenPSD2 (issu du Berlin Group), association dédiée à la DSP2, a créé un groupe de travail qui réunit différents acteurs – principalement des banques. La STET en fait partie mais a aussi publié un premier niveau de définition de ses APIs en juillet dernier, ce qui est quelque peu étonnant. Je ne serais pas surpris que plusieurs standards émergent en Europe. De toute façon, même s’il y en a trois ou quatre au niveau européen, ce sera toujours bien mieux que le web scraping…

L’initiative de la STET est-elle comparable à celle opérée au Royaume-Uni ?

La STET a coordonné le chantier avec les contributions de BNP Paribas, BPCE, Crédit Agricole, Crédit Mutuel – CIC, la Banque Postale et la Société Générale ; c’est un standard fermé, qui n’a été fait que par des banques. Quand on est en train de monter un écosystème innovant, il vaut mieux inviter les acteurs qui en sont partie prenante. Le Berlin Group n’est pas beaucoup plus ouvert mais ils ont au moins engagé une période de consultation à l’ensemble de la communauté. Ce qui est dommage, c’est que cette consultation n’a eu lieu qu’après la publication de la première version du draft, avec le volet API en septembre. Au Royaume-Uni, la V1 est sortie après une  discussion avec l’écosystème.

Que pensez-vous de la publication de la STET sur un standard d’API ?

La publication me semble très incomplète. La STET décrit en effet les APIs à mettre en place mais elle ne va pas au-delà. Or, les APIs ne sont que la partie visible de l’iceberg, un moyen technique pour échanger de l’information et déclencher des services chez un tiers. Il faut surtout définir comment on les utilise, comment se fait le consentement ou quelles responsabilités auront les acteurs.

On peut aussi se demander quels seront les dispositifs techniques mis en place au-delà de l’API pour garantir que le tiers qui initie un paiement est parfaitement authentifié, de telle sorte  que la banque ne prenne pas de risque… Il faut notamment se poser la question de l’existence et de la tenue d’un registre pour gérer l’authentification des nouveaux acteurs européens créés dans le cadre de la DSP2. On doit donc prévoir une API pour gérer l’accès à ce registre et une autre pour traiter  le consentement avec la banque, avant de présenter effectivement les requêtes comme l’initiation de paiement.

Le standard d’API de la STET ne dit pas dans quels cas d’usage on se situe et ne précise pas non plus le cadre d’interopérabilité des différents acteurs de l’écosystème concerné. Par exemple, dans le cas d’un paiement sur un site marchand, par quel processus le consentement du client se retrouve présenté à la banque “payeuse” ? En omettant ces éléments, la STET n’a pas défini les standards qui permettront de mettre une place une approche d’open banking en France.

Et le Royaume-Uni a déjà effectué ce travail ?

Oui. Par exemple, la problématique de mettre en place un registre opérationnel qui gère l’authentification en temps réel des TPP, de leurs Apps et des banques a été traitée dès l’origine. Le standard anglais définit un processus selon lequel le site marchand renvoie au moment du paiement vers un “payment initiator”, qui présente de façon claire et explicite le consentement donné par le client. Une autre API prévoit l’accès à un “registry” pour attester de la légitimité des acteurs tiers en temps réel. Ce qu’il faut retenir c’est qu’au Royaume-Uni, l’ensemble du processus a donné lieu à toute sorte de travaux, dont la définition du processus, le rôle des acteurs, la définition des API… Des enquêtes ont même été menées avec des clients finaux pour s’assurer de la fluidité de l’expérience client.

Il faut faire des paris et investir vraiment

Bruno Cambounet

VP Finance Services and Banking Solutions chez Axway

Peut-être que les banquiers français considèrent qu’ils peuvent encore ralentir quelque chose d’inexorable en jouant la montre. C’est dommage. Au Royaume-Uni, au lieu de se cramponner à leurs données, les banques réfléchissent à l’amélioration du parcours client et à la création de meilleurs services pour les utilisateurs finaux. En France, on se bloque sur des problématiques techniques et on prend du retard. Or, dans le digital, on sait que c’est la capacité à délivrer à temps qui compte, avec une  prime au premier entrant. Sur ces sujets, il faut faire des paris et investir vraiment. Quand on regarde les travaux de la STET et des acteurs bancaires français, on se dit que la France ne fait que le minimum pour être conforme, c’est décevant.

Au-delà de la question de l’élaboration des standards, observez-vous tout de même une évolution en termes de stratégie chez les acteurs bancaires avec lesquels vous travaillez, alors que se rapproche l’entrée en vigueur de la directive ?

Oui, un changement s’opère. Début mai, nous avons annoncé la création d’une plateforme commune avec Sopra Banking pour aider nos clients à attirer parti de l’open banking et à traiter les cas d’usage de la DSP2. Et depuis quelques semaines, on se rend compte que les demandes des acteurs traditionnels ne se limitent plus à chercher la simple mise en conformité mais aussi à développer de nouveaux services comme ceux des agrégateurs ou des TPP.