APIs DSP2 : l’Arlésienne

Alors que l’ACPR avait mis la pression lors du CNPS du 29 septembre dernier en affirmant que les obstacles identifiés dans les APIs devaient être levés d’ici le 31 décembre 2020, force est de constater que de nombreux obstacles perdurent et nous empêchent aujourd’hui de migrer notre base d’utilisateurs vers les APIs DSP2.

En attendant les corrections sur les APIs des banques, nous devons donc considérer que l’espace banque en ligne (BEL) des banques est la solution principale de récupération des données, ce qui revient à continuer le scraping.

Les principaux points qui restent bloquants aujourd’hui sont les suivants :

● Incomplétude des comptes présents (absence des comptes joints/des personnes protégées) ;

● SCA systématique à chaque connexion (pour les comptes professionnels et/ou entreprises) ;

● Absence de parcours app to app fluide pour la SCA ;

● Impossibilité d’initier des virements instantanés, multiples ou encore récurrents.

Dialogue de sourd

Au-delà de ces problèmes techniques, de nombreuses incompréhensions perdurent entre banques, TPP et le régulateur. En effet, alors que ce dernier a pris position de façon très claire sur certains points bloquants, de nombreuses banques campent sur l’analyse de leur service juridique/risque interne pour justifier leur statu quo. Un dialogue de sourd…

Reculer pour mieux sauter ? Pas si sûr.

Consciente de ces problèmes de transparence, l’ACPR a annoncé au CNPS du 18 janvier que des contrôles allaient être réalisés prochainement au sein des banques sur lesquelles nous, TPP, avons remonté des points bloquants (à ce jour 7 banques françaises sont concernées).

Les contrôles et surtout l’éventualité de sanctions associées risquent d’accélérer la résolution des obstacles et notre migration mais ce n’est pas si évident. En effet, certaines grandes banques françaises ont évoqué l’idée “d’arrêter les frais” et de stopper leur effort pour faire valider leurs APIs.

Surprenant ? Pas vraiment. Rappelons que :

● Ces travaux durent depuis plusieurs années et qu’une certaine lassitude se fait sentir au sein des parties prenantes ;

● Les sommes engagées sont très importantes et ces APIs sont de plus en plus vues comme une contrainte et non une opportunité par les banques ;

● La DSP2 n’impose pas aux banques de mettre en place d’APIs comme certains aiment le laisser penser.

Sortir du flou

Je permets d’insister sur le dernier point qui est crucial. Que dit la DSP2 et ses RTS ?

Les banques ont trois possibilités :

● Pas d’interface dédiée mise en œuvre : accès via le site de banque en ligne avec authentification du tiers ;

● Interface dédiée mise en œuvre dotée d’un mécanisme de secours (accès banque en ligne avec authentification du tiers) ;

● Une API a été mise en œuvre et exemptée de mécanisme de secours.

De plus en plus de banques se posent donc la question de revenir à la première possibilité qui leur permet de contrôler qui accède aux données de leurs clients sans accumuler les coûts d’un projet IT complexe et la pression cumulée des TPP et du superviseur.

Rétropédaler est aujourd’hui une vraie possibilité et nous en serions les premiers déçus, mais l’important est de sortir de cette zone de flou qui est intenable. Si nous devons continuer de passer par l’accès direct pour telle ou telle banque alors nous devons le savoir très clairement.

Une chose est sûre : le scraping n’est pas mort.

Toutes les ressources liées à cet article

Les Personnalités

Bertrand Jeannet

Secrétaire Général chez Budget Insight

Accès à la fiche entière

Les sociétés

Budget Insight

Accès à la fiche entière