À quatre mois de l’entrée en vigueur de la DSP2, les standards techniques réglementaires (RTS) relatifs à la manière dont les nouveaux tiers de paiement accéderont aux données des comptes bancaires sont toujours attendus. Et le dialogue entre les différents protagonistes – agrégateurs de comptes et initiateurs de paiement d’un côté, banques garantes de ces mêmes comptes de l’autre – est toujours aussi difficile. « La DSP2 va entrer en vigueur avec une grosse malfaçon puisque les standards de sécurité, eux, ne seront pas disponibles pendant près de 18 mois. C’est invraisemblable, voire rocambolesque, quand on connaît le contexte de cybersécurité qui est le nôtre », s’est inquiétée le 20 septembre Marie-Anne Barbat-Layani, directrice générale de la FBF, au Workshop organisé par Revue Banque sur le sujet de l’open banking. La Commission européenne prévoit en effet de rendre sa copie sur ces RTS à l’automne, puis, si le Parlement et le Conseil ne s’y opposent pas, les standards devraient entrer en vigueur 18 mois plus tard. Dès janvier, en revanche, les premiers agréments d’AIS et de PIS seront délivrés. L’ACPR se veut rassurante : « nous allons contrôler ces nouveaux acteurs, notamment en matière de risques opérationnels et informatiques », a assuré Geoffroy Goffinet, directeur adjoint des agréments au sein du superviseur français, précisant qu’un avis sécuritaire serait demandé à la Banque de France, même en l’absence d’exigences réglementaires précises.
La défiance vient aussi des nouveaux acteurs eux-mêmes qui redoutent que les outils proposés par les banques pour cet accès aux comptes (sous forme d’API) soient moins performants que le web scraping aujourd’hui utilisé. « Ce sont déjà des millions de comptes agrégés et de paiements processés par les AIS et les PIS. La DSP2 permet de sécuriser massivement cela, autant en profiter. Nous sommes des entrepreneurs responsables », a argumenté Joan Burkovic, fondateur de l’agrégateur Bankin. Chaque partie risque de camper sur sa position tant que les premières API d’accès aux comptes ne seront pas connues. Sur ce chantier, les choses, toutefois, avancent : mandatée par les banques françaises, STET a publié en juillet un standard commun pour ces futures API ; une autre initiative, à vocation paneuropéenne, dite « Berlin Group », proposera début octobre ses propres standards, soumis à consultation. Des bases concrètes qui permettront peut-être de rassurer les deux parties et de faire progresser le dialogue. S. L.
