Vous connaissez sans doute les canaux « traditionnels » utilisés pour consulter et effectuer des opérations sur votre compte courant : agence, automate, centre de relation clients, banque en ligne internet web et mobile. Saviez-vous que les clients peuvent aussi y accéder par le biais d’un 6ème canal ?
La mise en oeuvre d’une stratégie
La démarche d’ouverture de nos systèmes d’information (Open Banking) passe d’abord par une stratégie. Celle-ci a été définie il y a plus de 3 ans et s’est concrétisée par la mise en œuvre d’un nouveau canal de distribution technologique des services bancaires du Groupe BPCE : le canal « Open API » qui s’appuie sur 2 composants principaux :
- le portail 89C3 API, site vitrine du catalogue des API* bancaires exposées,
- la passerelle 89C3 API Live, véritable porte d’entrée vers une trentaine de nos établissements bancaires « teneurs de comptes » répartis sur 4 systèmes d’information, et vers plus de 12 millions de clients dont les données ont été fiabilisées (le fameux « KYC = Know Your Customer », soit la validation réglementaire des informations clients via la carte d’identité, la feuille d’imposition, etc…).
Le contexte de la DSP2
Mis en place sous l’impulsion du second volet de la Directive Européenne des Services de Paiements n°2 (DSP2), l’Open Banking a permis au Groupe BPCE de passer des jalons importants :
- plus de 500 millions de requêtes en production reçues en 2022 via ce canal,
- 160 prestataires externes de services de paiements qui l’utilisent aussi bien à partir de la France que d’un pays européen.
A cette échelle, nous avons donc une solution complètement industrialisée !
Pour illustrer les cas d’usage apportés par cette directive, l’agrégation de données en est un important. Un cas moins connu couvre l’initiation de paiement par virement SEPA. Cette fonctionnalité :
- est identique aux virements bancaires traditionnels de compte à compte effectués par les clients via la banque en ligne,
- permet aussi de faire des paiements en ligne sans saisir les données de sa carte bancaire ! En plus de l’intérêt (évident) du paiement instantané, les commerçants en ligne y voient l’opportunité de livrer rapidement les produits achetés en minimisant les impayés.
Des gages de sécurité et de performances
Bien sûr, quand on parle d’Open Banking, cela ne veut pas dire que c’est « open bar » ! Nos API bancaires sont exposées vers le monde extérieur avec des gages de sécurité et de performances :
- les prestataires externes doivent justifier d’un agrément fourni par leur régulateur national pour pouvoir utiliser nos API DSP2 (et détenir des certificats européens associés…),
- nos clients utilisateurs de ces services sont équipés d’un moyen d’authentification forte, et doivent donner leur consentement sur base du triptyque « prestataire externe + compte de paiement + donnée à agréger ».
Ce dernier point est fondamental pour ne remonter, via API, que les données consenties par le client. C’est donc une protection pour le client qui n’aura plus à donner ses identifiants et mots de passe à une entreprise externe (à contrario du web scraping, méthode qui consiste à récupérer l’intégralité du contenu des pages web de la banque en ligne afin d’en réutiliser le contenu).
C’est aussi un très bon exemple de mutualisation de services au niveau du Groupe. Ainsi, le recueil de consentement mis en place dans le cadre de la DSP2, sert aussi dorénavant de base pour d’autres services bancaires. Il est inscrit comme l’un des axes du plan stratégique de BPCE 2024 en permettant au client de rester maître de ses données, ce qui en fait un asset technique pour centraliser les consentements plutôt que ceux-ci soient répartis par application.
L’analyse des données
Ce nouveau service est à la fois une réponse à la réglementation, mais aussi une véritable opportunité business en lien étroit avec l’analyse de la donnée :
- Le centre de confidentialité développé sur nos applications mobiles et espaces web clients permet d’informer les clients sur leurs consentements RGPD**, Opt-in marketing et Cookies (d’autres services bancaires suivront en 2023).
- Les clients peuvent bénéficier d’une analyse de leurs données (si consentement…) pour recevoir des offres adaptées à leurs besoins en fonction des moments de vie ou évènements clients. Ainsi, le service de recueil de consentement RGPD avec finalité « moyens de paiements » vient d’être généralisé à toutes fins de cibler, par exemple, l’envoi d’un crédit travaux au client si sa carte bancaire est souvent utilisée dans un magasin de bricolage.
Nous fournissons donc une solution Groupe pour renforcer la relation de confiance des clients avec leurs établissements bancaires tout en positionnant ces derniers comme des tiers de confiance pour la gestion des données bancaires.
En conclusion, le Groupe BPCE a investi largement dans ce nouveau canal pour couvrir tous les aspects réglementaires mais pas que. L’ouverture de nos systèmes d’information donne naissance à des services innovants à valeur ajoutée grâce à l’utilisation en masse d’API… et pour le bénéfice de nos clients !
(*) « Application Programming Interface » ou « interface de programmation applicative »
(**) « RGPD » = Règlement Général sur la Protection des Données