L’Autorité de contrôle prudentiel et de résolution (ACPR) et la Banque de France ont organisé, le 18 mars après-midi, une réunion de Place visant à présenter à l’ensemble de la profession le cadre réglementaire s’appliquant à l’exemption API découlant de la DSP2. L’initiative a permis d’éclairer le secteur sur les différents points de l’une des mesures les plus marquantes de la législation européenne sur les moyens de paiement.
« L’importance de l’alignement sur les conditions et les attentes en termes d’exemption ». C’est sur cette note institutionnelle qu’a été introduite la réunion de Place du 18 mars 2019 dédiée à l’exemption API. Organisée par les régulateurs français dans les locaux de l’ACPR, la séance a permis d’informer les professionnels du secteur sur l’orientation de la procédure d’exemption des API dans le cadre de la DSP2, dans un objectif d’efficacité opérationnelle. Concrètement, les banques ont trois choix possibles pour être en conformité d’ici au 14 septembre 2019 au regard de l’accès aux comptes, selon Geoffroy Goffinet, adjoint au Directeur des Autorisations, ACPR :
- Permettre un accès via le site de la banque en ligne avec authentification du tiers (pas d’autorisation ACPR à demander).
- Mettre en place une interface dédiée (API) avec un mécanisme de secours (pas d’autorisation ACPR à demander).
- Mettre en place une API sans solution de secours. Cette troisième solution nécessite qu’une exemption soit délivrée par l’ACPR avant le 14 septembre.
Au regard de l’agenda réglementaire, l’organisation est claire : « le 14 septembre est la date limite d’obtention d’une exemption. Le 14 juillet est la date limite de dépôt du dossier complet pour assurer un retour de l’ACPR d’ici au 14 septembre. Et le 14 avril est la date limite de mise à disposition d’une API répondant aux conditions d’utilisation étendue », poursuit l’intéressé. Le formulaire dédié, disponible sur le site de l’ACPR, se veut ergonomique et fidèle aux orientations de l’European Banking Authority (EBA).
Disponibilité et niveau de service
L’obtention de l’exemption s’effectue selon différents critères, disponibilité et performance des API étant au centre de l’analyse afin d’assurer un service à la pointe sur le marché. Sont ainsi pris en compte la disponibilité – ou durée quotidienne – ainsi que le niveau de service proposé, en sachant que l’analyse passe par une égalité de traitement entre interfaces disponibles et dédiées. Des tests de résistance sont également prévus. Ils incluent plusieurs volets. D’une part, la capacité d’accès de plusieurs prestataires d’initiation et d’agrégation. D’autre part, la capacité de gérer un nombre élevé de demandes de la part de prestataires. Enfin, l’utilisation d’un nombre extrêmement élevé de sessions ouvertes simultanément et les demandes portant sur de forts volumes de données. Le régulateur prévoit également que les acteurs précisent si l’API découle d’une initiative marché et décrivent la collaboration avec les prestataires tiers. A cela s’ajoutent d’autres éléments, comme l’utilisation étendue de l’interface – phase de trois mois d’utilisation pouvant être comprise dans la phase de tests de six mois – et le référentiel sécuritaire géré par la Banque de France.
Ce dernier inclut un rapport de conformité réalisé par le centre d’évaluation agréé par l’Agence nationale de la sécurité des systèmes d’information (ANSSI), sur lequel la Banque de France repose pour établir l’avis qui sera transmis à l’ACPR. Processus qui débouchera, comme habituellement, sur des interactions tripartites avec les acteurs. « Le cadre est garanti par la réglementation avec une certaine flexibilité » prenant en compte les réalités du terrain, selon Alexandre Stervinou, chef de la surveillance des moyens de paiement scripturaux de la Banque de France, qui ajoute que « le Comité national des paiements scripturaux (CNPS), travaille depuis l’année dernière sur le développement d’une API de Place afin d’apporter une réponse à la pointe au secteur ». Situation qui n’occulte pas l’équité de l’approche du régulateur dans l’analyse des autres propositions du marché, le mot d’ordre – tel que voulu par les instances européennes – étant le « level playing field ». Toujours dans la logique européenne, Geoffroy Goffinet indique que « le registre EBA va centraliser les agréments accordés à tous les acteurs de paiement, dont les nouveaux acteurs, au niveau européen », avant de préciser qu’il devrait « être opérationnel le jour même », à savoir le 18 mars 2019.
