API PSD2 STET 1.4 – Épisode 1

Le système de compensation interbancaire STET a été missionnée par ses actionnaires (Crédit Mutuel, BNP Paribas, BPCE, Crédit Agricole, la Banque Postale, le Groupement Cartes Bancaires et Société Générale) pour proposer un standard d’API PSD2. L’initiative se retrouve concurrente d’autres qui ont pu émerger partout en Europe (Berlin Group étant l’alternative la plus connue).

La première version fut publiée dans le courant de l’été 2017, et les TPP, qui n’avaient pas été consultés, ont émis un certain nombre de remarques et critiques. Suite à une pression exercée par les TPP pour faire accepter le principe que les consommateurs des API ont leur mot à dire sur la définition de ces interfaces, un groupe de travail a été formé au CNPS (Comité National des Paiements Scripturaux) auquel participent l’ensemble des acteurs concernés par la PSD2, présidé par la Banque de France.

Cela a donné lieu à de nouvelles versions successives, aboutissant à la 1.4 qui devrait être publiée courant septembre et qui constitue celle à mettre en place par les ASPSP au 14 septembre 2019. Des évolutions ne manqueront pas d’arriver par la suite, mais cette stabilisation permet aux banques d’avancer sur leurs développements de manière sereine pour être en conformité dans un an.

Depuis cet été, les réunions techniques à la STET intègrent également les TPP, ce qui fait de la version 1.4 la première à laquelle les TPP ont activement contribué. Avoir réunis TPP et ASPSP autour de la même table permet d’anticiper et de corriger d’éventuelles limites de l’API vis à vis des usages actuels des utilisateurs de solutions d’agrégation de comptes ou d’initiation de paiement.

Un des changements majeurs introduit par la 1.4 concerne la gestion du consentement.

Jusqu’alors, l’idée retenue était de laisser à l’ASPSP le soin de présenter, au travers du redirect, la liste des comptes pour lesquels le PSU donne le consentement sur les comptes qu’il souhaite partager à l’AISP.

Néanmoins, les discussions au CNPS ont indiqué la chose suivante :

Les PISP et les AISP doivent pouvoir gérer directement le consentement de l’utilisateur concernant l’accès à ses comptes et le périmètre de ses comptes accessibles. Les articles 64.1 et 66.2 de la DSP2 pour les PISP et 67.2.a de la DSP2 pour les AISP fondent ce point, ainsi que l’article 32.3 des RTS, qui précise également que les ASPSP n’ont pas à demander des contrôles supplémentaires du consentement donné par les utilisateurs aux TPP.

Conclusion du GT :

Les TPP doivent avoir la possibilité de gérer le consentement de l’utilisateur concernant l’accès à ses comptes et le périmètre de ses comptes accessibles. Ce point est confirmé en date du 13 juin 2018 par l’EBA, qui indique que les ASPSP n’ont pas à demander de vérification préalable du consentement donné par l’utilisateur au TPP.

L’API STET 1.4 prend acte de ce point en laissant côté AISP la gestion du consentement. Dès lors, les ASPSP doivent fournir, au travers du endpoint /v1/accounts, la liste complète des comptes de paiement.

Néanmoins, dans un mode dit « mixte », l’ASPSP peut réclamer l’information concernant le consentement, même si il n’est pas habilité à le révoquer. Cela se fait au travers du endpoint suivant :

PUT /consents HTTP/1.1

{
  "balances": [
    {
      "Iban": "YY64COJH41059545330222956960771321"
    }
  ],
  "transactions": [
    {
      "Iban": "YY64COJH41059545330222956960771321"
    }
  ],
  "trustedBeneficiaries": true,
  "psuIdentity": true
}

Le TPP indique ici à l’ASPSP la liste des comptes (représentés par leur IBAN ou tout autre identifiant de compte) pour laquelle le PSU a consenti l’accès aux soldes ou aux transactions.

Sont indiqués également le consentement sur l’accès en lecture à la liste des bénéficiaires (qui fera l’objet d’un prochain article), et son identité.

Sur ce dernier point, le groupe de travail au CNPS a confirmé la mise à disposition de cette information :

Les PSP tiers doivent pouvoir accéder aux noms et prénoms des titulaires de comptes qui

apparaîtraient sur l’espace de banque en ligne de l’utilisateur. Est entendu par nom et prénom tout libellé qui apparaît à l’utilisateur lorsqu’il se connecte à son espace de banque en ligne.

Cette nouvelle version du standard STET introduit d’autres évolutions majeures, qui feront l’objet de prochains articles.