La Commission propose un règlement pour permettre l’avènement de l’open banking

Très attendu par les acteurs de l’open banking, un projet de règlement pour les services de paiement (RSP) a été présenté par la Commission européenne le 28 juin, en même temps que le projet de révision de la directive européenne sur les services de paiement (DSP3). S’il ne présente pas une révolution de l’ampleur de la DSP2, le règlement a pour ambition de rappeler l’esprit de la directive précédente et de lever un certain nombre d’obstacles à l’avènement de l’open banking, en améliorant la performance des API proposées par les banques (account servicing payment service providers ou ASPSP) aux acteurs tiers agréés DSP2 de l’agrégation (AIS) et de l’initiation de paiement (PIS).

API accessibles et performantes

“Nous sommes assez satisfaits de la première mouture du règlement, se félicite Richard Boutet, directeur des affaires publiques de Bridge. D’abord, le texte rappelle le principe de l’open banking, édicté dans la DSP2, et rend obligatoire la mise à disposition d’API par les banques (hors exemption), alors que la DSP2 leur laissait la possibilité de se contenter d’un “fallback mechanism”. “Ce rappel d’API only, dans l’article 35 du règlement, ainsi qu’une obligation qu’elles soient gratuites et sans contraintes, est important car les banques souhaitent créer des API business sur lesquelles elles ont la main et qu’elles contractualisent”, ajoute le responsable.

Parmi les grandes victoires obtenues par les Third Party Providers (acteurs tiers accédant aux API DSP2), l’obligation de performance et de sécurité de ces API bancaires. “Pour que l’open banking trouve son essor, il faut que la couverture fonctionnelle soit au même niveau que celle des applications et que la performance et la rapidité soient au rendez-vous en permanence”, arguait Olivier Binet, CEO de Bridge, auprès de mind Fintech en mai 2023. L’article 36 définit ainsi un certain nombre de prérequis concernant ces deux critères : temps de réponse, fonctionnalités fournies (initiation de virement simple, de virements à des bénéficiaires multiples, de virements programmés, par exemple), etc. “Le règlement ouvre la possibilité pour l’EBA de publier des RTS sur des sujets comme celui-ci, explique Richard Boutet. C’est positif car cela permettrait de définir, au-delà des principes posés dans le règlement, des critères plus précis de performance, des critères techniques…” 

Le règlement rappelle aussi dans son article 37 le principe de parité d’accès aux données, sujet régulièrement décrié par les TPP, tandis que l’article suivant impose des critères d’accessibilité et précise les mesures que les banques doivent prendre lorsque ce n’est pas le cas, à savoir avertir les TPP et leur proposer une solution alternative. “Jusque-là, nous n’en étions souvent pas informés et nous devions contacter la banque”, explique Richard Boutet. Le règlement prévoit aussi la possibilité pour les acteurs tiers de contacter leur autorité nationale (en France, l’ACPR) à ce sujet si une solution n’est pas apportée par la banque. 

C’était là l’une des revendications des acteurs de l’open banking : conférer aux autorités locales des pouvoirs de sanction. La DSP2 donnait en effet la possibilité aux autorités locales de recevoir des réclamations, mais ne leur attribuait pas de pouvoir coercitif vis-à-vis des banques, ni de sanctions. Le règlement évoque au contraire la possibilité pour les autorités de fixer des délais aux banques pour se mettre en conformité, “avec la possibilité de sanctions dans le cas où ceux-ci ne seraient pas respectés”.

Interdiction d’obstacles à l’accès 

Autre avancée pour le développement de l’open banking : un certain nombre d’obstacles à l’accès des données dans le cadre de l’open banking, listés à l’article 44, seront désormais interdits. Parmi eux : la réclamation du renouvellement de l’authentification forte plus fréquent que le délai de 180 jours désormais prévu par la réglementation (initialement fixé à 90 jours par la DSP2, délai déjà rallongé par l’EBA et rappelé à l’article 86 du règlement), l’obligation pour l’utilisateur de soumettre à nouveaux ses identifiants, la restriction aux initiations de virements vers l’étranger, l’interdiction de réaliser un paiement vers un bénéficiaire non enregistré… “Nous avions défini un certain nombre d’obstacles et quasiment tous ont été retenus par la Commission, se félicite Richard Boutet. Nous allons travailler avec le Parlement pour ajouter ceux qui ne sont pas encore listés”. 

Tableau de bord pour les utilisateurs

La Commission introduit enfin dans ce règlement (article 43) une nouveauté : l’obligation pour les banques de mettre en place des tableaux de bord facilement accessibles par leurs clients, sur lesquels ils pourront visualiser l’ensemble des acteurs tiers à qui ils ont donné accès à leurs données, lesquelles et sur quelle durée. Le tableau devra aussi permettre la révocation de ces accès. Une disposition visant à assurer plus de transparence pour les clients des banques, dans un environnement où les acteurs de l’agrégation et de l’initiation de virement se multiplient.

Le texte sera désormais examiné par le Parlement européen et le Conseil, et amendé. Il devrait être voté au printemps 2024, et le règlement prévoit une entrée en application 18 mois plus tard, soit fin 2026 voire début 2027 (article 112). “C’est pour nous le seul point négatif de ce texte, regrette le directeur affaires publiques de Bridge. Le délai nous paraît énorme, d’autant que les structures informatiques sont déjà en place, la SCA tous les 180 jours sera effective dès cet été… Nous allons nous battre sur ce sujet, car nous avons besoin de cette réglementation le plus rapidement possible”.