Expression de plus en plus répandue dans le langage courant, l’Open Banking a fait irruption sur le marché sous l’impulsion des directives européennes.

Dans cet article, nous expliquons de quoi il s’agit, quels sont les effets de sa mise en œuvre dans le secteur financier et quels sont les avantages pour les consommateurs et les entreprises, au-delà de l’aspect purement pratique.

Définition de l’Open Banking

L’Open Banking pourrait être traduit littéralement par « secteur bancaire ouvert » et prend une signification différente selon la perspective dans laquelle on l’envisage.

Définition

Le terme Open banking désigne le partage de données financières par les établissements bancaires et assimilés avec des entreprises tierces parties.

Pour le consommateur, l’Open Banking se traduit par exemple concrètement par le fait qu’il peut accéder à l’ensemble de ses informations financières personnelles à partir d’une plateforme unique (agrégateur), même si elles sont réparties entre plusieurs banques et établissements de crédit.

Pour les institutions financières, en revanche, l’Open Banking signifie la mise à disposition des données de leurs clients – exclusivement à la demande des clients eux-mêmes – à des sociétés tierces parties ou Third Party Providers (TPP).

Pourquoi une banque, une compagnie d’assurance ou une société d’investissement devrait-elle partager des informations aussi précieuses ?

La réponse est bien plus simple qu’on ne le pense : c’est parce qu’elle y est obligée. C’est en effet ce que prévoit une directive européenne, la désormais célèbre DSP2, en vigueur depuis 2019.

PSD2

La Payment Services Directive 2 (directive sur les services de paiement 2), mieux connue sous le nom de DSP2, est la directive européenne n° 2366 de 2015 [1], qui est entrée en vigueur quatre ans plus tard. Elle s’adresse à tous les prestataires de services financiers (banques, compagnies d’assurance, établissements de monnaie électronique, etc.)

Outre l’établissement d’exigences strictes en matière de sécurité informatique, l’objectif de la nouvelle réglementation est de donner un nouvel élan au régime concurrentiel dans un secteur historiquement fermé, où le secret de l’information était utilisé par les institutions pour lier le consommateur à leur offre.

Les banques et autres institutions financières sont donc tenues de partager les informations relatives à leurs clients, mais uniquement si ces derniers en font explicitement la demande.

Pourquoi les consommateurs devraient-ils choisir, de leur propre initiative, de transmettre leurs informations financières et patrimoniales à des entreprises extérieures ?

Tout d’abord, pour des raisons purement pratiques. Comme on le constate depuis quelques années, la multibancarisation est un phénomène très répandu : d’après une étude Ifop de 2022 [2] pour la Fédération Bancaire Française,  35 % des usagers utilisaient les services de plusieurs banques.

C’est plus que dans l’étude précédente Ifop/Anytime de 2017 [3] où le chiffre n’était que de 20 %. Sur les 31 % qui avaient  plusieurs comptes, 66% d’entre eux avaient choisi de les héberger au sein de plusieurs établissements. Cette étude plus ancienne fournissait d’intéressants détails : les multibancarisés étaient des cadres et des indépendants ou chefs d’entreprise. 30 % recherchaient la flexibilité et 29 % voulaient profiter des avantages offerts par les différentes banques.

Dans le cadre de la multicancarisation, l’Open Banking permet de tout gérer à partir d’une seule application : soit l’application d’une des banques, soit un agrégateur.

AISP et PISP

La consultation et la gestion à partir d’une plateforme unique sont rendues possibles par deux types de prestataires de services :

Account Information Service Provider (AISP). En français : prestataire de service d’information sur le compte. Il collecte des informations détenues par différents établissements financiers et les met à disposition sur une plateforme, par exemple un portail web ou une application mobile pour smartphones et tablettes.

Payment Initiation Service Provider (PISP). En français : Prestataire de services d’initiation de paiement. Entreprise qui, sur autorisation et au nom de l’utilisateur, effectue une transaction à partir d’un compte bancaire, d’un portefeuille électronique ou d’une carte de crédit.

L’accès aux données par des opérateurs tiers peut susciter le scepticisme de nombreux utilisateurs, bien que cette pratique soit très répandue.

Amazon Pay et PayPal, par exemple, entrent dans la catégorie des AISP et sont depuis des années – des décennies dans le cas de PayPal – autorisés sur une base volontaire par les consommateurs et les entreprises à utiliser leur compte courant ou leur carte de paiement.

Les grandes banques françaises traditionnelles comme la BNP, le Crédit Agricole ou encore La Banque Postale,  proposent désormais leur propre agrégateur bancaire, intégré à la plateforme de banque en ligne. Les banques pour ne pas se faire dépasser par des agrégateurs indépendants comme Lydia doivent créer leur propre solution ou racheter celles qui existent déjà, comme Lynxo, racheté par le Crédit Agricole.

Les effets sur les institutions financières, les consommateurs et les entreprises

L’un des objectifs de l’open banking, tel qu’explicitement exprimé dans la DSP2, est de favoriser la compétitivité des offres dans le secteur financier. Cela permet par exemple de choisir la méthode de paiement la moins chère pour un achat donné.

Considérons maintenant la même possibilité appliquée à des services tels que les comptes de dépôt, les investissements, la conversion de devises et les transferts.

L’utilisateur accède à un agrégateur bancaire via une application ou un site web, sélectionne l’opération qui l’intéresse et obtient les différentes options, triées en fonction des critères choisis – par exemple  le coût (frais les plus bas), le risque ou le rendement (taux d’intérêt), etc. L’utilisateur peut choisir la meilleure offre tout en restant sur la même plateforme.

Un exemple concret, que nous connaissons déjà, est offert par les comparateurs d’assurance automobile, où il est toutefois nécessaire d’introduire des données actualisées à chaque fois : politique d’origine, nombre de sinistres, etc. Les comparateurs basés sur l’open banking, au contraire, non seulement éliminent la partie la plus fastidieuse de la procédure, à savoir la saisie des données (puisque l’agrégateur est déjà en possession de toutes les informations), mais seront en mesure de fournir des résultats précis et fiables grâce à une analyse approfondie du patrimoine et de la situation financière de l’utilisateur.

Les perspectives pour les consommateurs et les entreprises sont donc très intéressantes, tant d’un point de vue pratique qu’économique.

Qu’est-ce qui pousse un établissement financier à faciliter, via son propre site web, une analyse minutieuse de ses offres ?

Proposer une plateforme bancaire ouverte, c’est d’une part conserver et fidéliser les clients en répondant à la demande de plus en plus insistante de simplification dans la gestion des services, et d’autre part, c’est leur permettre de garder le contrôle sur les fonctionnalités mises à disposition de l’utilisateur.

Piquées au vif par le succès des fintechs, les banques traditionnelles ne seront pas prises au dépourvu cette fois-ci. Elles peuvent en effet profiter de l’un de leurs grands atouts : leur notoriété. Une marque pérenne suscite un sentiment de confiance et de fiabilité chez le consommateur. Ce dernier, surtout lorsqu’il s’agit de partager des données financières, aura tendance à préférer se tourner vers l’agrégateur d’une grande banque plutôt que vers une solution proposée par un nouvel acteur, même s’il est spécialisé.

Cela suffira-t-il à éviter un nouvel exode de la clientèle ? Peut-être dans un premier temps, mais comme nous l’avons vu, la méfiance des consommateurs à l’égard des opérateurs natifs du numérique s’effrite peu à peu au fil du temps, rendant le facteur de compétitivité de l’offre, plus encore que la réputation de la marque, crucial pour la survie.

API : partage des données et sécurité

La mise en pratique de l’Open Banking passe par l’interface de programmation d’applications (API), un ensemble de procédures informatiques qui permettent d’accéder à des informations détenues par d’autres entreprises.

Comme le stipule la DSP2, les institutions financières sont tenues de fournir des API ouvertes. Celles-ci s’opposent aux API commerciales, ou API fermées, qui ne sont accessibles que dans le cadre d’un accord commercial entre des parties privées.

Image : Mobile Transaction

Les banques communiquent les données aux applications externes par l’intermédiaire des APIs.

 

L’ouverture des APIs peut-elle affecter le niveau de sécurité ?

Non. On pourrait au contraire affirmer que la rigueur des règles et les normes de sécurité élevées imposées par l’Union européenne garantissent un niveau élevé de protection des données, alors que l’on ne sait rien des normes utilisées dans la réalisation des API commerciales.

Il est important de souligner, en outre, que les APIs limitent leurs actions à l’échange de données. L’archivage (stockage) de ces mêmes données relève de la seule responsabilité de l’institution financière individuelle.

Au-delà de la DSP2 : l’Open Banking dans le monde

L’Open Banking n’est pas une prérogative de l’UE. En l’absence d’impositions réglementaires, son adoption se fait sur la base du volontariat. C’est le cas aux États-Unis, emblème de la concurrence et de la compétition.

Aux États-Unis, comme il n’existe pas de législation pour réglementer les normes de partage des données financières, il s’agit d’une pratique purement commerciale, régie par des accords entre parties privées et mise en œuvre par le biais d’une variété de canaux.

Le plus répandu est le screen scraping, qui est particulièrement exposé aux risques de cybersécurité. Cela consiste en fait à récolter des informations en accédant aux comptes à l’aide d’informations d’identification fournies par l’utilisateur lui-même, sur une base volontaire. L’accord est conclu entre l’agrégateur et le consommateur ou l’entreprise, l’institution bancaire n’ayant aucun rôle ou pouvoir pour s’y opposer.

Comme on peut le deviner après avoir pris connaissance des principes et des objectifs de la DSP2, une telle pratique n’est pas seulement entravée par les réglementations des pays de l’UE, mais elle est désormais impensable. Même l’utilisateur moyen est parfaitement capable de comprendre les risques liés au partage des noms d’utilisateur et des mots de passe.

Pour tenter de protéger les clients peu méfiants, les grandes banques américaines – dont JP Morgan et Wells Fargo – agissent en établissant des partenariats avec les agrégateurs les plus populaires, afin de permettre l’accès aux données via des API et de reproduire ainsi l’expérience européenne.

Comment cela se passe-t-il dans le reste du monde ? Éviter la propagation du screen scraping sur les comptes bancaires est aujourd’hui une préoccupation majeure des institutions financières dans le domaine des technologies de l’information. Des pays comme le Japon, le Royaume-Uni et l’Australie se sont mis à l’abri en adoptant des projets de loi qui suivent les traces de la DSP2, devenue le précurseur et le guide des normes de sécurité pour les services bancaires ouverts.