A trois semaines de l’échéance du 14 septembre, aucune banque française (ni européenne) n’est techniquement prête à fournir, efficacement et de manière sécurisée, les données de paiement de leurs clients à des services tiers agréés, comme les agrégateurs Bankin’, Linxo ou Yolt.

3,2 millions de clients européens revendiqués pour Bankin’, 2,5 millions pour Linxo, sans compter les millions de Français qui utilisent cette fonctionnalité via l’application de leur banque… L’agrégation de comptes bancaires, qui simplifie la gestion budgétaire en fusionnant dans une même interface les opérations issues de différents comptes, commence à trouver son public. Lancés à l’insu des banques, ces nouveaux services ont été depuis adoubés par les institutions européennes. Dans le cadre d’une révision de la directive sur les services de paiement (DSP2), ils ont acquis un statut réglementaire, tandis que les banques étaient priées de leur donner un accès sécurisé aux données de paiement de leurs usagers, par le biais d’interfaces informatiques, les API. Date-limite de livraison : le 14 septembre 2019.

Problème : à trois semaines de l’échéance, aucune grande banque européenne n’est réellement prête pour le grand saut, selon une étude de Tink repérée par le blog C’est pas mon idée. Le pointage effectué par le spécialiste suédois de l’agrégation indique que seules 15% des enseignes ont fourni des API opérationnels, quoique incomplètes, tandis que 36% ont des interfaces non fonctionnelles et 26%… pas d’interface du tout.

La crainte de l’interruption de service

Chez les agrégateurs, l’inquiétude est palpable, et légitime. Ces derniers, en effet, sont censés basculer sur ces API le 14 septembre prochain. En l’état actuel des choses, ils craignent donc une dégradation, voire une interruption, des services fournis. Une catastrophe pour ces acteurs qui travaillent depuis des années à gagner la confiance des usagers.

Dans un texte publié le 21 août, Tink demande ainsi aux différents régulateurs bancaires de l’Union de déployer d’urgence un « mécanisme de secours », autorisant les services tiers à maintenir l’usage de leurs techniques actuelles - notamment celle, baptisée « web scraping », consistant à « aspirer » les données en simulant une connexion du client à son web bancaire -, le temps que toutes les banques aient fourni des API opérationnelles.

En France, un mécanisme de secours mis en place

Qu’en est-il en France ? Utilisateur de Bankin’ ou de Linxo, risquez-vous de subir une panne de ces services ? A priori, non. La France fait en effet partie des trois pays, avec l’Allemagne et la Grande-Bretagne, dont les régulateurs ont d’ores et déjà déployé ce mécanisme de secours.

Concrètement, les banques qui n’ont pas rempli leurs obligations devront autoriser les agrégateurs, et autres tiers autorisés, à pratiquer le web scraping, comme ils le faisaient jusqu’ici, après authentification. L’assurance, logiquement, d’une continuité de service pour l’usager.