Avec la mise en œuvre de la DSP 2, l’open banking ne devrait plus être un vœu pieux pour les acteurs du monde financier et bancaire, mais une réalité. Les contraintes imposées par la pandémie de Covid-19 qui transforment durablement les habitudes de vie des utilisateurs, tant professionnels que particuliers, et des salariés du secteur (voir Revue Banque n° 847), mais également l’arrivée continue de nouveaux acteurs devraient pousser les banques vers une ouverture plus grande de leurs systèmes d’information, vers plus d’interopérabilité avec des tiers prestataires de services ou apporteurs d’affaires, plus de services mieux adaptés aux besoins actuels de leurs clients et finalement plus de nouvelles sources de revenus. Or, dans les faits, près d’un an après l’entrée en vigueur de la DSP 2 et de ses différents RTS, tous les acteurs bancaires ne sont pas égaux dans l’open banking. Suivant d’où ils viennent, tous les acteurs n’ont pas les mêmes préoccupations sur l’open banking ni les mêmes attentes.
Prenons l’exemple de Pytheas Capital Advisor. Cette FinTech qui propose de l’affacturage collaboratif inversé utilise l’open banking sans se préoccuper de la DSP 2. Pour Ludovic Sarda, son fondateur, « la DSP 2 n’a rien changé pour nos activités BtoB, nous travaillons en collaboration avec les banques qui ne nous voient pas comme un concurrent direct. Nous sommes en amont du service et nous envoyons des données à la banque, nous ne sommes pas là pour récupérer des données comme les agrégateurs. Résumer l’open banking à la DSP 2 est, selon moi, un raccourci très restrictif. Pour moi, l’open banking consiste à voir comment des FinTechs peuvent apporter des services complémentaires en collaborant avec différentes banques ou intermédiaires financiers. Les banques ont compris que s’ouvrir vers des tiers pouvait les aider à développer de nouveaux business. » Mastercard en tant qu’émetteur de cartes et réseau d’acceptation a un autre point de vue sur le sujet. Solveig Honoré-Hatton, directrice de Mastercard France, estime que pour sa société, l’open banking est « un nouvel écosystème qui pose les fondations d’un marché plus ouvert et plus compétitif au bénéfice d’abord des consommateurs pour leur apporter plus de services. Ce système va s’accélérer avec la mise en place de la DSP 2 et d’autres législations dans le monde. Chez Mastercard, nous l’avons abordé très vite par analogie avec nos compétences et notre savoir-faire historique. Nous sommes juste aux prémices de l’open banking. » La société a donc développé trois solutions pour les banques et les TPP (Third Party Provider ou prestataires tiers). Le premier est Open Banking Connect, qui permet à un TPP d’accéder à l’ensemble des banques du réseau Mastercard. « Nous venons de déployer chez Tesco au Royaume-Uni un de nos services Open Banking Connect pour permettre à Tesco d’offrir à leurs clients un service de remboursement de leur ligne de crédit sur leur carte de paiement via l’application mobile de Tesco. » Le deuxième, Open Banking Protect, est une solution pour protéger les banques contre les demandes de données frauduleuses dans ce nouvel écosystème, en faisant un monitoring en temps réel et fin des demandes de connexion des TPP et une analyse des risques. Enfin, Open Banking Resolve « répond aux besoins de règlement des litiges sur le sujet entre banques et TPP. » Avec ces trois outils, l’entreprise se sent prête à affronter un monde où l’open banking dopera la compétition. Interrogée sur l’initiative EPI (voir Revue Banque n° 847) qui proposera un répertoire d’API commun à ses banques et TPP partenaires dès le lancement de ce schème de paiement européen, Solveig Honoré-Hatton se dit confiante et prête à travailler avec ce nouvel environnement.
De l’absorption des spécialistes à la mise en pratique
Et dans le monde bancaire français, comment se passe l’open banking ? Au point de vue organisationnel, il y a eu une vague de rachats et de fusions ces dernières années entre les banques et les FinTechs pour que les banques traditionnelles se dotent d’outils adaptés. C’est notamment le cas de certains précurseurs de l’agrégation : Linxo ou Budget Insight ont rejoint le giron de grands groupes bancaires. Malgré les liens financiers et organisationnels, techniquement chaque structure avance à son rythme. Ainsi, bien que Linxo ait rejoint le giron du groupe Crédit Agricole et commence à être utilisé par ce dernier pour certaines fonctions, son cofondateur, Bruno Van Haetsdaele, reconnaît que l’arrivée de la DSP 2 « a majoritairement contribué au développement de notre marché. Des acteurs bancaires - comme d'autres acteurs en parallèle - ont sondé le marché pour s'équiper de solutions d'agrégation de comptes bancaires, ce qui a amené à un développement du marché avant même l'entrée en vigueur de la DSP 2, ce qui peut paraître contre-intuitif. À l’heure actuelle, le potentiel des API de type DSP 2 est encore en "sous-exploité", aucune banque n'étant 100 % conforme aux derniers critères publiés en juin. » En revanche, dans son activité propre d’agrégation et de gestion de comptes, il a constaté depuis de nouveaux cas d’usages : liaison entre le compte bancaire des clients de KPMG et d’Intuit avec leur système comptable, évaluation du bilan carbone d’un individu ou d’une société avec Greenly, collaboration avec Younited Credit pour la validation des dossiers ; un client a même connecté sa balance Withings à ses comptes pour établir une corrélation entre sa courbe de poids et ses dépenses !
Une vraie contrainte : l’authentification à renouveler tous les 90 jours
En revanche, il considère que l’obligation liée à l'authentification forte tous les 90 jours visant à demander au client bancaire une connexion à son espace « est un frein majeur dans le parcours, complexifiant l'expérience utilisateur. De ce fait, il y a un risque élevé de “perte” d'utilisateurs à chaque authentification forte. C'est dommage que la réglementation impose une solution technique non adaptée aux usages. Notre position vise à permettre la délégation et le contrôle de l'authentification forte au TPP, ce qui nous permettrait de proposer une expérience plus homogène et plus fluide. » Quant à Frédéric Boy, le fondateur de Widmee qui a lancé son agrégateur en marque blanche il y a quelques semaines (voir Revue Banque n° 847), son estimation de la mise en œuvre sur le terrain est peut-être plus sévère encore : « environ la moitié des banques s’est conformée à la réglementation et a des API qui correspondent à ce que demande la DSP 2. Parmi celles qui restent, un quart va au-delà de ces demandes et a pris un engagement vertueux pour l’open banking et il y a un quart de réfractaires qui n’ont pas encore mis en place les API de base de la DSP 2. Beaucoup de banques françaises investissent dans ce domaine, car elles y voient un intérêt et anticipent de nouveaux usages. Il reste néanmoins une méfiance réciproque notamment au sujet de l’authentification forte qui est un frein à l’open banking. Le problème est que les tiers n’ont pas l’autorisation de gérer l’authentification forte, elle reste gérée par les banques : ce qui complexifie énormément les parcours, avec plusieurs demandes d’authentification. Et la DSP 2 demande à ce que cette authentification forte soit renouvelée tous les 90 jours, ce qui fait qu’aujourd’hui un tiers seulement des utilisateurs jouent le jeu. Concilier ces besoins de fluidité et de sécurité est le nouvel enjeu. Je pense qu’il faudrait que les banques et les agrégateurs travaillent ensemble sur une spécification technique précise écrite conjointement par les tiers et par les banques, et pas un simple canevas souple. L’authentification forte est un mal nécessaire, on ne peut pas la contourner, mais un peu de bon sens et de coopération pourrait la rendre plus souple. »
Côté néobanque, N26 et Revolut sont régulièrement cités comme des acteurs vertueux de l’open banking, mais refusent toujours de répondre à la presse, et le petit dernier Vybe le met au cœur de son business plan en comptant uniquement sur les commissions de cashback générées par les dépenses de ses jeunes clients pour vivre. Les choses bougent également du côté des banques à destination des professionnels. L’exemple le plus récent étant l’offre Qonto Connect. Alexandre Prot, cofondateur de Qonto définit la mission de sa banque comme : « Simplifier au maximum la vie des TPE/PME, en leur proposant une solution “tout-en-un” qui mette en pilote automatique la gestion de leurs finances. » Et l’open banking est au cœur de cette stratégie, « avec Connect, nous permettons d’exporter à l’extérieur de Qonto des infos en provenance du compte via notre API sécurisée vers d’autres services. Cette API a été intégrée dès le lancement de Qonto en V1 il y a déjà trois ans. Nous l’avons enrichi et amélioré, car nous l’utilisons en interne pour nous-mêmes. Nous avons trois interfaces clients chez Qonto : l’application sous iOS, celle sous Android et application Web qui sont clientes de notre API pour les informations venant de notre système d’information. Ce principe-là est similaire à notre API externe qui est publique . N’importe qui peut l’utiliser pour développer une connexion avec un nouvel outil, que ce soit nos clients ou des services tiers. Aujourd’hui il y a à peu près 80 services qui utilisent l’API de Qonto et parmi ceux-ci, il y en a sept et bientôt huit qui ont été sélectionnés pour être dans l’interface Qonto Connect, car ils ont une qualité de service exceptionnelle. »
Une adaptation du SI de longue haleine
Côté banques traditionnelles, les plus avancées dans l’open banking sont souvent celles qui ont absorbé un agrégateur qui va à la fois enrichir leur réflexion sur l’usage de l’agrégation, mais également les doper techniquement. Ainsi au sein du Groupe Agricole, si Linxo répond aux besoins en tant que clients en matière d’open banking des banques du groupe, c’est LCL qui est en charge de la prestation de services pour l’ensemble du groupe, mais également pour les FinTechs et start-up externes qui veulent se raccorder au système d’information. Olivier Biton, directeur des systèmes d’information de LCL, explique que le grand problème pour les banques traditionnelles est de faire migrer un système d’information traditionnel vers un système plus ouvert : « Les systèmes ont été conçus pour les postes des conseillers puis nous y avons ajouté le Web et les applications mobiles à destination des clients. Désormais nous commençons à ouvrir nos systèmes vers l’extérieur et des enjeux de cybersécurité, nous ne savons pas du tout estimer les volumes de transactions et le nombre de partenaires qui vont se raccorder au système d’information. Le SI historique ne peut suivre. Nous avons résolu ce problème en passant par des solutions orientées Big Data. Nous collectons toutes les informations des clients et nous les copions en permanence dans des bases NoSQL qui sont dédiées à la réponse de toutes les demandes de leur part. Pour cela, il faut une architecture Data et il faut répondre aux demandes en utilisant des technologiques issues du cloud. Ainsi si demain nous devons faire face à trois fois, quatre fois ou même dix fois plus de demandes, nous pourrons le faire sans sursaturer notre système. Tout cela demande de gros investissements, il est plus facile de consommer de l’open banking que de le développer. Ceci résout aussi un frein historique sur nos propres canaux digitaux, où l’ajout d’une donnée dans la synthèse client pouvait vous coûter un million d’euros de coût de fonctionnement en appelant les transactions historiques du SI. » Dans ce domaine, la refonte longue et coûteuse du système d’information global de Crédit Agricole et de ses filiales a porté ses fruits.
Pour Crédit Mutuel Arkea aussi, la clé de la réussite réside dans une adaptation de longue haleine. Comme le dit Jean-Luc Dubois, directeur des flux au sein du groupe : « Nous n’avons pas attendu de parler de l’open banking pour en faire. Depuis 10 ans nous proposons les fonctionnalités de notre SI en marque blanche aux institutions financières. Depuis la fin des années 2000, nous avons également mis à disposition de nombreuses FinTechs une interface informatique pour créer des cartes bancaires virtuelles. C’était de l’open banking avant l’heure. Aujourd’hui, l’intérêt de l’open banking est de mettre à disposition de nos clients bancaires ou FinTech des fonctions pour accéder au core banking sans avoir à mettre à disposition l’interface client. » Ce sont en effet les tiers qui se connectent au système d’information de la banque qui vont mettre en place leur propre parcours client et donc l’interface adéquate. Pour Jean-Luc Dubois, l’open banking n’est pas qu’une affaire de technique : « l’open banking est un système croisé : pour certains de nos besoins, en particulier pour notre assistant personnel Max, nous intégrons des offres fournies par d’autres sociétés. Nous proposons aussi nos API bancaires via un portail de développement. Il est nécessaire d’échanger avec nos clients pour expliquer les fonctionnalités offertes et la tarification. C’est ce que nous avons prévu pour notre nouvel API de virement Grands Émetteurs. La tarification est déterminée par rapport à nos coûts de fabrication. » Et la DSP 2 dans tout ça ? « L’open banking nous permet d’offrir de nouveaux services. Nous avons lancé un PoC début juillet pour permettre à une entreprise d’éditer un QR Code sur une facture qui, une fois scannée, permet à son client le paiement via une initiation de paiement. Nous utilisons les possibilités offertes par la DSP 2 pour offrir ces nouveaux services. Les évolutions réglementaires offrent de réelles opportunités de développement. »
