Qu’est-ce que l’Open Bank ? Si le juriste peut comprendre la traduction littérale de « Banque ouverte », celle-ci ne renvoie pas à une notion connue, mais à de multiples concepts juridiques reflétant la pratique en constante évolution. Ces concepts varient en fonction des utilisateurs et des fournisseurs de l’Open Bank, de l’objectif recherché, des données/services/applications concernés et des technologies utilisées. L’approche par les technologies utilisées sera le fil conducteur de cette présentation. En effet, la clef de voûte de l’Open Bank repose sur la capacité de la place à définir des protocoles standards partagés par le plus grand nombre tout en préservant la sécurité du système.
L’Open Bank en API
Les interfaces de programmation applicative
Depuis quelques années, porté à marche forcée par l’évolution de la réglementation européenne, le secteur bancaire s’ouvre à la concurrence par la création de nouveaux acteurs régulés. Ces nouveaux acteurs sont utilisateurs et fournisseurs d’API et participent par ce biais à la fourniture de services de paiement et de monnaie électronique.
Des fournisseurs d’API nés de la DSP 1 et de la DME 2
Nombreux sont ces nouveaux acteurs qui ont développé depuis sept ans des business models fondés simultanément sur une offre propriétaire et une offre « cobrandée ». Ils se positionnent alors en qualité de fournisseur d’API couplé avec une prestation de services de paiement sur mesure dédiée aux clients de l’utilisateur de l’API. Force est de constater que certains établissements européens ont des centaines d’offres personnalisées de services de paiement et de monnaie électronique pour des partenaires utilisateurs de leur API et des millions de clients finaux utilisateurs de services de paiement et monnaie électronique.
L’objectif du fournisseur d’API, qu’il soit une banque ou un établissement de paiement ou de monnaie électronique, consiste à rentabiliser sa plate-forme de services de paiement et/ou d’émission et de gestion de monnaie électronique.
L’objectif de l’utilisateur de l’API repose souvent sur la volonté de tester un marché dans le secteur bancaire ou du paiement, sans rechercher l’obtention d’un agrément au démarrage. Il peut aussi consister à couvrir des situations plus pérennes, lorsque l’utilisateur d’API a lui-même développé des services à valeur ajoutée, dont le paiement n’est qu’un accessoire. L’utilisateur de l’API n’a pas, dans ce cas, la volonté d’internaliser les services réglementés à court et moyen terme. Les nouveaux entrants issus des directives précitées et les acteurs plus traditionnels peuvent aussi parfois s’intégrer dans la chaîne de valeur du paiement en qualité d’utilisateur d’API.
Des utilisateurs de nature variée
Dans le secteur marchand, le développement des places de marché crée aussi des nouveaux besoins en termes d’API. En effet, la réglementation européenne a fait massivement basculer les places de marché n’agissant pas en qualité de commissionnaire ou dans le cadre d’une exemption, en prestataire fournissant des services de paiement. Ces services réglementés requièrent l’obtention d’un agrément ou d’un mandat d’agent de paiement conclu avec un prestataire de services de paiement. Dans les deux cas, ces acteurs ont besoin de minimiser l’impact de ce changement réglementaire et d’intégrer dans leur plate-forme les API requises pour leur permettre d’ajouter la brique régulée tout en préservant leur système de gestion d’achats-ventes en ligne et de gestion de la fraude. De façon générale, les grands marchands sont de plus en plus enclins à développer leur propre établissement régulé en utilisant des API bancaires ou de paiement répondant à leurs besoins, notamment en cross canal. Le fournisseur d’API devient au sens de la réglementation un prestataire de services essentiels et l’utilisateur de l’API est un établissement régulé.
Au-delà des services de paiement, la réglementation relative au financement participatif a fait émerger en Europe de nouveaux utilisateurs potentiels d’API bancaires et de paiement : les intermédiaires en financements participatifs et les conseillers en investissements participatifs.
Dans le secteur du crédit, les nouvelles banques digitales s’appuient sur des « core banking » proposés en API par des filiales de banques.
Dans tous ces exemples, les APIs sont mises en œuvre par un prestataire pour répondre à sa stratégie de transformation digitale. La DSP 2 va au-delà en imposant aux prestataires un échange de données suivant la volonté du client final. Dans le cadre de cette évolution, l’Open Bank deviendrait-elle synonyme d’Open Data ?
L’Open Bank et l’Open Data
L’Open Data fait référence en droit français à l’ouverture au public de données numériques sans restriction sur le droit d’accès et la réutilisation. La base légale de ce mouvement repose sur l'ordonnance n° 2005-650 du 6 juin 2005 transposant la directive Open Data dans la « loi CADA » n° 78-753 du 17 juillet 1978. Plus de dix ans plus tard, il est aisé de constater que la loi informatique et libertés constitue encore un frein majeur à l’Open Data. En effet, l’Open Data permet à tout destinataire de réutiliser les données dans le cadre d’une finalité différente du traitement de donnée source, qui peut d’ailleurs ne pas être connue au moment de la réception des données. Cette réglementation n’a pas son équivalent en droit privé, car elle doit être motivée par des objectifs d’intérêt général. Le secteur bancaire n’est pas dans cette mouvance de « l’Open Data d’intérêt général ». Cependant, certaines initiatives pourraient avoir un impact sur le secteur bancaire et financier comme l’Open Data d’identification visant la création d’un e-identifiant harmonisé au niveau européen ou fixant des modalités d’échange entre prestataires de données de KYC (Know Your Client). Ces réflexions se traduisent à ce stade par le
Concernant les acteurs privés agissant pour leurs besoins propres et non dans le cadre d’un intérêt général, l’attente est forte comme le démontre le rapport d’IDC pour la Commission
L’ABE face à de multiples arbitrages
La DSP 2 donne mandat à l’Autorité bancaire européenne (ABE) pour prévoir les standards techniques relatifs à ces échanges de données (Article 98 2 de la
Le choix britannique de l’ouverture
À l’inverse, le Royaume-Uni semble s’en approcher. La Competition and Markets Authority’s (CMA) souhaite mettre en place début 2018 le concept d’Open Banking, entendu comme le partage des données des clients entre banques et tiers, permettant aux clients de gérer leurs différents comptes ouverts auprès de prestataires multiples au sein d’une seule et même application et de comparer les offres. Le Royaume-Uni semble donc parti sur un modèle fortement ouvert ce qui nous amène à mentionner la technologie de l’Open Source.
La technologie de l’Open
Une chaîne de valeur mouvante
L’Open Bank peut reposer sur d’autres technologies, mais nous avons fait le choix de sélectionner que les principales, adressées par la réglementation européenne en matière de paiement. Ces technologies se développent dans tous les métiers de la banque. Elles déclenchent une révolution à grande vitesse pour tous les acteurs de la chaîne de valeur devant faire des choix rapides sur leur positionnement stratégique. Elle redistribue à nouveau les rôles entre les nouveaux entrants DSP 1, les banques et les nouveaux entrants DSP 2, dans lequel chaque acteur a une nouvelle carte à jouer sur cette chaîne mouvante. L’avocat doit repenser dans cette évolution tous les contrats partenaires, et anticiper les nouvelles réglementations alliant plus que jamais droit des nouvelles technologies et réglementation financière.