La Commission tente de trancher le débat sur les API

Après des mois de tractations avec l’EBA, la Commission européenne a publié lundi 27 novembre la version finale des standards techniques (RTS) de la DSP 2 définissant la manière dont les nouveaux tiers de paiements (agrégateurs et initiateurs) accéderont aux comptes de leurs utilisateurs sur les systèmes d’information bancaires. Les interfaces de programmation (API), passerelles informatiques conçues par les banques, sont consacrées par ce RTS comme la voie privilégiée pour réaliser cet échange sensible de données. Si une banque propose une API et que cette dernière a été validée à l’issue d’un test de six mois, alors le tiers de paiement sera obligé de l’utiliser. Et donc d’abandonner sa pratique historique de web scraping. Depuis plusieurs mois, les banques et certaines FinTechs s’opposaient, les premières s’inquiétant des brèches de sécurité que le web scraping pouvait encourager, les secondes arguant que cet accès direct était pourtant leur meilleure garantie contre des API ne mettant pas assez de données à disposition. La période de test de six mois prévue par le RTS sera une manière de prévenir un défaut de qualité de ces interfaces. Une procédure de repli est par ailleurs prévue pour le cas où l’API serait ponctuellement défaillante : le RTS autorise alors le tiers de paiement à accéder aux données directement via l’interface du client, préalablement mise à niveau pour permettre l’identification du tiers en question. Une forme de web scraping amélioré en somme. Mais la version finale du RTS prévoit simultanément que les autorités nationales, en coordination avec l’EBA, exemptent certaines banques de la mise en place de cette solution de repli.
Cette succession de règles et d’exceptions témoigne de la difficulté, pour les législateurs européens, de concilier les deux objectifs de la DSP 2 : garantir plus de sécurité dans les paiements d’un côté, et introduire plus de concurrence et d’innovation de l’autre. Ces dispositions n’entreront en vigueur que 18 mois après leur validation – elles doivent encore être entérinées par le Parlement et le Conseil –, soit vers septembre 2019. Ce sera bien après la date de mise en œuvre de la directive elle-même, le 13 janvier prochain. Entre-temps, le web scraping n’est pas explicitement interdit. Reste enfin que le RTS ne couvre que le champ de la DSP 2, à savoir les comptes de paiement. Rien n’est dit pour l’instant sur l’agrégation des comptes d’épargne ou de crédit, pour l’instant compilés grâce à du web scraping. S. L.