Services aux particuliers  >  Tribunes  >  DSP2 : serons-nous prêts en septembre 2019 ?

DSP2 : serons-nous prêts en septembre 2019 ?



A partir de septembre 2019, les TPPs (Third Party Provider) seront supposés utiliser les API mises à disposition par les banques pour récupérer les données des comptes bancaires et initier des virements. Mais les initiatives des banques dans le développement des APIs et le retour d'expérience du Royaume-Uni peuvent susciter des inquiétudes, souligne Bertrand Jeannet, head of risk & compliance chez Budget Insight

 

Début 2019 marquera le début d’une période de tests devant permettre d’évaluer les performances des APIs et d’apporter des correctifs si nécessaire. Comme le précise la Commission Européenne (dans le Règlement 2018/389), les interfaces (APIs) devront être testées par les prestataires de services de paiement qui les utiliseront (les TPPs) et seront soumises à des tests de résistance. Une question légitime émerge : serons-nous prêts en septembre 2019 ?

Développement des APIs : des états d’avancement divers

Si certaines grandes banques françaises commencent à sortir la première version de leur API et à les faire tester par des TPPs de la place, d’autres n’en sont qu’à une étape préalable d’expression de besoin et de compréhension des prérequis techniques et réglementaires. ‘L’API-sation’ des systèmes d’informations des banques est un chantier complexe, coûteux et très consommateur de temps.

Il est donc évident que certaines banques ne seront pas prêtes pour septembre 2019 pour la simple et bonne raison que les APIs doivent être testées et que ces tests ne sont pas encore suffisamment formalisés et prendront du temps aux TPP et aux autorités nationales. 

Le retour d’expérience inquiétant du Royaume-Uni

Nous, TPPs français, avons eu la chance de rencontrer récemment à Paris des représentants de FData (Financial Data and Technology Association) et d’Open Banking UK qui sont venus nous présenter les résultats de leurs travaux et les conclusions sont très claires : 

- Tester une API dans un environnement de test n’a rien à voir avec un test en environnement de production ;
- Quasiment trois semaines sont nécessaires aux fintech pour se connecter à l’API d’une banque ;
- Aujourd’hui au Royaume-Uni, 7 500 nouveaux utilisateurs par mois se connectent en accès direct (screen scraping) contre seulement 150 via API ;
- 10 mois après la deadline, ils estiment être à 50% de leur roadmap.

Exemption de mécanisme d’urgence : une aberration

Dans ce contexte, ils nous semblent évident qu’exempter les banques de mécanisme d’urgence apparaît impossible pour la simple et bonne raison que ces APIs ne pourront pas légitimement prétendre être largement utilisées par des TPPs (comme l’oblige l’article 33 point 6 c du Règlement 2018/389) dans 10 mois. 

Les deux seules alternatives possibles sont donc :

1. Rendre le mécanisme d’urgence obligatoire (article 33 du règlement 2018/389) pour identifier les TPPs agréés et permettre le scraping de façon sécurisée ;
2. Allonger la période de transition.

Rappelons quand même que nous pourrions être confrontés à des APIs insuffisamment performantes ou (pire) indisponibles sans aucun moyen de secours et donc dans l’incapacité de fournir nos services. Nous sommes d’accord pour utiliser ces interfaces mais pas au détriment de la qualité de nos services. La volonté affichée “d’aller vite” pour transposer la DSP2 en droit national et imposer les APIs pourrait être contre-productive et nous, TPPs, en serions les premières victimes.