Standard d’API PSD2 unifié : une mauvaise idée

Lors de la réunion à l’EBA du 21 février à Londres, un des sujets qui a été retenu est d’avoir un standard d’API européen unifié, vers lequel les formats Berlin Group NextGenPSD2, STET, OpenBanking.uk, etc., seraient amenés à converger.

Aujourd’hui, les agrégateurs tels que Budget Insight utilisent diverses méthodes, que ce soit (majoritairement) du scraping, l’utilisation d’API privées (mobiles) ou publiques (oui, il y a des banques qui en proposaient déjà), afin de rationaliser les données récupérées ou les interactions avec elles, et de les exploiter pour leur propre compte (à l’instar de Bankin ou de Linxo) ou pour le compte de tiers en distribuant sous forme d’API. Chacun s’y retrouve dans le sens où d’un acteur à l’autre, la manière de rationaliser est différente à partir de ce qu’il trouve, et les banques n’ont pas besoin de faire un mapping différent de leur modèle de données interne.

Mettons que l’ensemble des ASPSP se mettaient d’accord sur un standard commun (ce qui est déjà très hypothétique), il serait soit très alambiqué pour prendre en compte toutes les spécificités des différents pays de l’union, des différents métiers de la banque (l’approche Berlin Group), soit très simpliste (l’approche STET). Dans le premier cas, outre la complexité d’exposition/intégration, ce serait contre productif car les banques seraient tentées de sortir du modèle pour leurs futures innovations qui n’auront pas été anticipées, et dans le second cas ce serait un nivellement par le bas, car la richesse des spécificités d’une banque serait gommée.

On pourrait m’accuser de prêcher pour ma paroisse, mais le fait de déporter auprès du TPP la standardisation des données agrégées permet d’éviter d’entrer dans un modèle unique imposé, et d’une part offre le choix aux intégrateurs d’API de choisir si il préfère l’approche de Budget Insight ou d’un autre AISP, et d’autre part évite de faire porter un coût important aux ASPSP, qu’elles retrouvent déjà dans l’intégration de Berlin Group ou de STET.

Car après tout, si elles s’étaient contentées d’exploiter les API mobiles dont elles disposent déjà, et que l’on utilise déjà, en les publiant avec la couche de sécurité imposée par la PSD2, cela leur aurait coûté beaucoup moins cher et aurait satisfait tout le monde.