L’entrée en vigueur de la seconde directive sur les paiements le 13 janvier dernier s’est vue privée d’une partie de sa substance, sa force de mise en œuvre ayant été déportée dans des standards techniques de régulation dont la mise en application a été décalée de 18 mois et interviendra le 14 septembre 2019. Ce faisant, celle-ci marque une étape importante en direction de l’open banking, concept se traduisant par un mouvement d’ouverture des écosystèmes bancaires rendu possible par une libération de la circulation des données bancaires entre différents acteurs.
La mise en application de cette directive complexe, qui a suscité de nombreux débats souvent agités entre les parties prenantes, témoigne de l’importance du sujet, avec la nécessaire ouverture des systèmes d’information (SI) des banques à des tiers, voire à des concurrents.
Le besoin de maintenir un équilibre entre innovation et sécurité dans les services financiers aboutit ici à un phénomène inédit : un régulateur obligeant des acteurs historiques en place à laisser de nouveaux acteurs tiers s’interposer dans la relation entre ces acteurs historiques et leurs clients, en partageant leurs données.
Toutefois le phénomène d’open banking ne saurait se résumer à un enjeu purement réglementaire, bien au contraire. D’autres facteurs accélèrent ce mouvement d’ouverture, conjointement à la réglementation :
- la maturité technologique et l’émergence de standards utilisés dans différents secteurs, tel le recours aux API représentant une brique technique capitale ;
- les premiers succès de l’open banking au travers d’applications concrètes ayant trouvé un écho favorable auprès des utilisateurs finaux et rendant viable tout un écosystème de FinTechs par des relais de croissance en B2B ;
- un rapport au risque et à la data bancaire en évolution profonde, comme en témoigne la relative facilité avec laquelle des utilisateurs ont partagé leur code de banque à distance à des tiers. Les études montrent aussi que la place de la banque, en tant que seul tiers de confiance capable d’assurer la gestion des finances est en train de changer, avec une crédibilité donnée à d’autres acteurs et notamment les géants du net.
Dans ce contexte, il convient pour les établissements bancaires de définir une stratégie globale vis-à-vis de l’open banking concrétisée par la construction de cas d’usage orientés client ; et ce quelle que soit leur place dans la chaîne de valeur de l’industrie bancaire.
Les API, des briques techniques au service d’une stratégie métier
Une des caractéristiques majeures de l’API qui explique en partie son succès à l’ère d’internet, c’est sa capacité à intégrer de multiples interfaces pour rendre l’expérience client la plus simple possible du point de vue de l’utilisateur, quels que soient le nombre et la variété des services appelés.
L’image du pont ou de la passerelle reliant directement une application à une autre gommant les piles ou les haubans intermédiaires, apportant des fonctionnalités complémentaires, est évocatrice. L’API Uber intègre le service de localisation de Google Maps, celui de paiement de Paypal intégrant lui-même la carte bancaire de l’utilisateur.
À la faveur de la DSP2, l’arrivée des API dans la sphère financière provoque une prise de conscience chez certains acteurs qui font figure de partenaires de longue date des établissements financiers.
C’est ainsi qu’il est possible d’interpréter la publication du White paper de Swift (swift_standards_whitepaper_api.pdf), s’appuyant sur une coopération déjà établie avec la Stet et le Berlin Group.
I. Les cas d’usage pour les quatre marchés de la banque de détail
De multiples cas d’usage témoignent déjà de l’apport d’une approche open banking pour les utilisateurs finaux et les établissements bancaires eux-mêmes. Quatre exemples (voir Tableau) nous semblent aujourd’hui particulièrement parlants et démontrent le caractère très concret de ce mouvement d’intensification de la circulation de la data bancaire entre banques, FinTechs et clients finaux.
Particuliers : initiation de paiement
Sur le marché des particuliers, si l’agrégation de compte semble désormais faire consensus comme un service susceptible de permettre aux établissements teneurs de compte principaux ou secondaires, de se différencier par un mode original de représentation des données bancaires, le potentiel d’utilisation d’un service d’initiation de paiement indépendant de l’établissement teneur de compte pose davantage de questionnements. Ce service se traduit par la possibilité pour un client de pouvoir initier un virement depuis un de ces comptes en n’étant pas connecté à son espace client, depuis une application tierce, ou depuis l’espace client d’un autre établissement bancaire.
L’initiation de paiement est-elle appelée à connaître une adoption aussi forte que l’agrégation de compte ? Ce que l’on peut dire pour l’heure, c’est qu’elle devrait bénéficier de deux facteurs : le déploiement de l’instant payment qui devrait augmenter significativement la variété des cas d’usage de l’initiation pour compte de tiers (en BtoC comme en BtoB) et la mise à disposition des API qui apportera une solution technique fiable à l’exécution de ce service, pour lequel le web scrapping apparaît particulièrement inadapté.
Dans le cadre d’un service d’agrégation, on peut s’interroger sur les caractéristiques ou avantages susceptibles de retenir un utilisateur sur son application favorite d’agrégation pour initier un virement entre deux de ses comptes de paiement ? La seule convivialité d’utilisation de l’application d’agrégation suffira-t-elle à conserver l’utilisateur sur une application indépendante de la banque donneur d’ordre du virement à effectuer ?
Il est vrai que les RTS DSP2 ayant aussi décidé de rebattre les cartes de l’authentification forte pour l’accès en ligne du titulaire lui-même à son compte de paiement, les portails et autres applications mobiles des établissements teneurs de compte vont modifier ses habitudes d’accès en vigueur depuis de nombreuses années (le plus souvent un identifiant associé à un code secret rejouable).
À cette occasion, il n’est pas exclu de penser que l’ergonomie du nouveau dispositif d’authentification forte proposé par le teneur de compte à ses clients peut rencontrer une adhésion inégale. Entre la mise en œuvre d’un facteur biométrique impossible à certaines générations de téléphone, le refus toujours possible par l’utilisateur d’installer une nouvelle application de sa banque sur son mobile permettant pourtant de valider le facteur de la possession ou l’éventuelle inéligibilité de son token préféré par certains adeptes du « home banking », la mise en œuvre du nouveau dispositif d’authentification forte peut s’avérer un chemin tortueux.
À l’inverse, on ne peut pas dire non plus que cette complexité de mise en œuvre peut être un atout pour un service d’initiation indépendant, ce dernier étant soumis aux mêmes règles d’authentification de l’utilisateur du service que l’établissement teneur de compte.
Gestion de patrimoine : entre vision globale du patrimoine client et valorisation du conseil
Au-delà de la question de l’initiation de virement, l’open banking a pour un établissement de crédit s’adressant aux particuliers et encore plus à une clientèle haut de gamme, un effet insidieux : cliver les enjeux et donc les réponses à apporter entre une vision globale du patrimoine du client et la valorisation du rôle du conseil. S’il est vraisemblable que ces clients appartenant aux marchés haut de gamme ont été conduits à développer une relation de confiance avec leur conseiller, ils seront tentés de reconnaître ce rôle et de pérenniser cette relation. Dans le même temps, il est également probable que les applications d’agrégation de compte vont porter un coup fatal aux outils d’information papier de type relevé des comptes et des avoirs détenus au sein d’un même établissement et mis à jour à fréquence périodique.
Reste à savoir quel teneur de compte proposera l’application qui le rendra le plus légitime à procurer cette vision globale.
Par ailleurs, cette circulation de la donnée bancaire offre des opportunités sur le segment de la banque privée, en cohérence avec son ADN : l’automatisation de la centralisation des avoirs clients dans une logique de « family office », la vision 360° des avoirs du client et son exposition dans une logique d’allocation d’actifs et de patrimoine, l’intégration de services tiers via des API pour enrichir la valeur ajoutée proposée sur le web, les opportunités ne manquent pas.
Pro : Un nouveau rôle pour l’expert-comptable
Sur le marché des professionnels et des PME, l’agrégation de compte semble recevoir un accueil favorable de la part des experts-comptables. Elle leur permet de proposer une nouvelle application aux entreprises présentant une vision consolidée de leurs comptes ouverts dans différents établissements et des services complémentaires traditionnellement confiés à des logiciels de type ERP pour le rapprochement comptable, la catégorisation des recettes et des dépenses et, dans un second temps, l’initiation de virements d’équilibrage ainsi que la proposition d’offres de crédit bancaire personnalisées tenant compte de la situation financière de l’entreprise.
Le marché des pros apparaît de plus en plus comme un segment sur lequel les établissements ont encore l’occasion de créer de la valeur, à l’inverse de segments comme les particuliers où les banques en ligne et la normalisation du « tout gratuit » rendent toute approche « ROIste » complexe.
À l’inverse, la rapidité d’exécution, la qualité de service et la proposition de nouveaux services à valeur ajoutée sont des attentes pour lesquelles les clients professionnels des banques sont prêts à payer.
Dans ce contexte, l’initiative d’ING Direct qui propose d’octroyer un crédit à un prospect « pro » en un temps record prend tout son sens. Basée sur la récupération des informations bancaires du client par une API d’agrégation de compte (celle de Budget Insight) et le croisement de ses informations avec une API de Scoring (ici Kabbage), ING Direct a développé une nouvelle offre de conquête grâce à l’open banking et à la circulation de la donnée bancaire entre différents acteurs.
Entreprises : cash management & cash pooling
Dans le domaine du cash management et du cash pooling, on serait tenté de penser que la DSP2 n’aura pas vraiment de prise, l’agrégation de comptes et les virements d’équilibrage étant déjà la norme et les dispositifs et protocoles mis à disposition par les banques aux entreprises étant bien éprouvés. Les RTS prévoient même que les procédures et protocoles de paiement sécurisés utilisés par les entreprises constituent à eux seuls une dérogation à l’obligation d’authentification forte du client (article 17).
Néanmoins, le White paper de Swift du 16 octobre 2018 sur les API raisonne comme un premier signal pour marquer l’amorce d’un virage vers les API dans les échanges entre entreprises. En tout cas, en s’attribuant un rôle de gardien de la méthode garantissant la sacro-sainte interopérabilité des messages (ou plutôt des requêtes entre établissements de crédit), Swift expose tout le potentiel qu’il confère aux API et en particulier leur avantage comparatif aux messages, en ce qui concerne la facilité d’adaptation, au regard de la rigidité de mise à jour des messages utilisés aujourd’hui.
Ce faisant, il est intéressant de noter que les établissements financiers, n’ont pas attendu ce White paper de Swift pour unir leurs forces autour de standards communs (Stet en France, Berlin Group en Allemagne) et ainsi de prendre toute la mesure de cet outil pour faciliter l’émergence de nouveaux usages pour les particuliers et pourquoi pas demain le remplacement d’outils existant à l’usage des entreprises.
II. Une stratégie métier orientée use cases…
Ces exemples témoignent bien du caractère concret de l’open banking. Dans ce contexte, définir une stratégie métier devient indispensable à l’ensemble des établissements et passe par une démarche en trois étapes.
Pour commencer, il s’agit d’initier une cartographie des offres et services proposés par la banque à chacun de ses marchés, afin d’identifier les forces et faiblesses de ses différentes offres.
Cette vision, confrontée à une veille métier et technique (l’opposition traditionnelle métier-IT n’ayant que peu de sens dans une démarche open banking), doit permettre d’identifier les gisements de création de valeur pour les clients. Ici, la valeur d’usage « perçue » par le client et la promotion du service doivent être une composante forte de la réflexion, au risque de développer une merveille technologique mais peu utilisée par les clients. Les innovations, et encore plus dans une logique d’écosystème ouvert, doivent s’inscrire dans l’ADN profond des établissements afin de conserver une certaine cohérence et crédibilité. C’est notamment ce que font les GAFAs lors de l’intégration de briques financières à leur offre : Facebook se concentre sur le paiement peer to peer en tant que réseau social, Amazon propose des moyens de paiements aux consommateurs et des crédits aux commerçants présents sur sa place de marché. De la même façon, l’agrégation de comptes est un simple moyen et de multiples cas d’usages ont été développés par les différents acteurs du marché, à l’instar de Nestor le service d’agrégation de comptes de paiement lancé par l’assureur Maif par exemple.
Ces innovations doivent s’intégrer conformément à l’ADN et à la promesse des établissements et ne sauraient être isolées d’une approche marketing plus large. À titre d’exemple, comment concilier services d’agrégation de comptes et approche conseil portée par les conseillers pour les banques à réseaux ?
Une fois ces cas d’usage à forte valeur ajoutée identifiés, il convient de valider la pleine capacité à proposer le nouveau service dans un time to market pertinent et viable économiquement. Par ailleurs, il est préférable d’évoluer le plus possible dans une logique progressive de « test and learn » afin de valider la proposition de valeur et l’acceptation du service par le marché. L’innovation, encore plus en écosystème ouvert, porte en elle une part de risque qu’il convient d’épouser afin de libérer le processus créatif.
Les API : un nouveau « portail d’entrée »
À la lecture des cas d’usage envisagés plus haut et après avoir défini une stratégie métier, il apparaît clairement que si le rôle de la banque est appelé à évoluer et dans certains cas à s’effacer derrière une API, ce nouveau réseau d’interactions est lourd de conséquences pour le SI de l’établissement teneur de compte et par ricochet pour l’éditeur du core banking.
Outre le choix d’une interface de communication qu’exige la DSP2 avec une exposition à partir du 14 mars 2019, la multiplication de ces échanges de données va avoir pour effet de sur-solliciter voire de saturer le SI fonctionnant sur des infrastructures technologiques qui n’ont pas été conçues pour une disponibilité totale 24 heures/24, car nécessitant des arrêts réguliers ne serait-ce que pour l’arrêté quotidien des comptes ou des maintenances mensuelles.
Le SI doit donc se protéger et s’adapter :
– se protéger, pour ne pas avoir à opérer des traitements issus de requêtes qui ne s’avéreraient pas conformes aux exigences de la réglementation, tant sur la forme de la requête reçue, que sur son émetteur, son contenu et au final le consentement de l’utilisateur au nom duquel cette requête est émise ;
– s’adapter, pour pouvoir traiter sereinement les nouvelles requêtes attendues sur des infrastructures développées pour la haute disponibilité, tant sur le plan de la couverture horaire que sur celui de l’accroissement progressif des volumes reçus avec une capacité à gérer des pics d’appels imprévus.
Ce double défi requiert d’ajouter à l’architecture déjà complexe des SI des établissements, une nouvelle fonctionnalité de gestion d’API (filtrage, routage, surveillance) et de paramétrer un moteur de règles d’authentification forte permettant d’automatiser le déclenchement du processus visant à recueillir le consentement de l’utilisateur.
Heureusement, les progrès réalisés par les technologies rendent possible aujourd’hui d’opérer cette nouvelle couche logicielle dans le cloud en mode Software as a Service. Il est ainsi possible de mutualiser les coûts de ce nouveau « portail d’entrée » tout en assurant une intégration directe des flux dans le SI de l’établissement teneur de compte installé sur des infrastructures dont il est et reste propriétaire.
Une nécessaire conduite du changement
Mais plus qu’une problématique purement IT, les changements qui vont intervenir au cours de l’année prochaine nécessitent un accompagnement soigné des équipes métiers (opérations et force de vente), pour leur permettre de faire face avec sérénité et diplomatie aux questions de type :
– la requête de mon agrégateur de compte reste sans réponse de vos services. Que dois-je faire ?
– vous m’avez envoyé une demande d’authentification pour une opération que je n’ai jamais demandée. Est-ce normal ?
– trouvez-vous normal que vous ne me proposiez pas une vision agrégée de mes comptes dans ma propre banque ?
– pourquoi votre application mobile ne délivre-t-elle pas un historique d’opérations aussi profond que l’application de mon agrégateur de compte concernant mon compte ouvert chez vous ?
La prise de conscience récente par la presse de la fin programmée des
À l’instar du travail effectué par les établissements au moment de la mise en œuvre de 3D Secure dans les années 2010, la conduite du changement au cœur des équipes opérationnelles est une démarche indispensable, pour leur permettre de partager avec les clients le soin qu’ils apportent au renforcement de la sécurité d’accès à leurs données sensibles.
C’est à ce prix que les établissements bancaires conserveront le haut niveau de confiance dans l’exploitation de leurs données personnelles que leur confèrent aujourd’hui leurs clients, utilisateurs de services de paiement.
