La Directive DSP2 sur l’accès aux données bancaires ne sera pas totalement appliquée le 14 septembre. Les autorités françaises devraient accorder un délai de quatre mois aux banques et fintech pour se mettre aux normes. C’est le cas d’autres pays comme le Royaume-Uni qui sont dans la même situation.
Dans un article publié par les Echos.fr, le grand big bang de « l’open banking » attendra. Face à cette directive sur les services de paiement en ligne qui va devenir contraignante le 14 septembre, les autorités ont décider de leur accorder plus de temps pour continuer à s’adapter. « Ce délai, qui s’ajoute à un autre délai concernant les nouvelles normes de sécurisation du paiement en ligne, devrait être de quatre mois, selon plusieurs sources », fait savoir la même source.
Dans le détail, la directive DSP2, adoptée en janvier 2018, contraint les banques européennes à faciliter l’accès à leurs données clients, via des connecteurs informatiques dédiés, les API (pour « Application Programming Interface »). Si ces API ne fonctionnaient pas, la DSP2, votée pour favoriser l’innovation et la concurrence entre établissements financiers, prévoit que les banques proposent aux fintech une solution de secours déjà existante : l’accès classique au compte du client via son mot de passe (« web scrapping »).
Problème, la DSP2 prévoit justement de renforcer la sécurité de l’accès au compte du client, le « simple » mot de passe n’étant plus suffisant et les fintech devant être « certifiées ». Or, pour l’heure, banques et fintech ne se sont pas encore mises d’accord sur les nouvelles conditions de cet accès ultra-sécurisé. En attendant, les autorités vont accepter au cas par cas, et pour un temps limité, les mots de passe « à l’ancienne ».
Reste que les API elles-mêmes sont un point d’achoppement entre banques et fintech. Chaque banque a développé son propre dispositif. Or, si la plupart des API sont disponibles, elles ne sont pas toutes exploitables, se plaignent les fintech, qui tirent la sonnette d’alarme depuis des mois.« Il y a eu du mieux, mais aucune banque n’est vraiment prête », juge Clément Coeurdeuil, patron de la fintech Budget Insight, qui offre des services d’agrégation des comptes et d’optimisation de budget pour les particuliers. « Peu de banques ont une API totalement exploitable, à la hauteur des exigences de la directive européenne », renchérit Lionel Vincke, président d’Azzana, un cabinet spécialisé dans les paiements.
De leurs côtés, les banques assurent au contraire être prêtes et considèrent que ce sont les fintech, plus petites, qui doivent encore travailler. « Nos API sont en test depuis mars et disponibles en production depuis début juillet. Elles sont conformes à la réglementation DSP2 et utilisables, déclare Thierry Laborde, directeur général adjoint et responsable des marchés domestiques de BNP Paribas. En revanche, les fournisseurs externes doivent encore faire le travail de les implémenter. Aujourd’hui, quatre fournisseurs sont en train de le faire, dont deux sont des banques. » (Avec LesEchos.fr)