Les API d'open banking

Qu'est-ce qu'une API d'open banking ?

Une API, ou interface de programmation applicative, est une technologie permettant à des systèmes informatiques distincts de communiquer entre eux et d’échanger des données. Grâce à une API, un système peut « appeler » ou demander des données à un autre système et en recevoir dans un format standard.

Les API d’open banking permettent à des prestataires tiers d’établir une connexion sécurisée et standardisée avec les banques. Les banques mettent leurs propres API à la disposition des prestataires tiers. En France, elles doivent répondre aux exigences du Code monétaire et financier et être conformes aux normes de la Banque de France.

Les prestataires de services open banking tels que TrueLayer regroupent les API des banques et fournissent aux entreprises une connexion API unique.

Que sont les prestataires de services d'information sur les comptes (PSIC, ou AISP en anglais) ?

Un PSIC est une entreprise qui a été agréée par l'Autorité de contrôle prudentiel et de résolution (ACPR). À ce titre, elle peut accéder à l'API d'une banque pour obtenir des données sur les opérations de compte. Cet accès est en lecture seule : un PSIC ne peut effectuer aucun paiement ou autre action à partir d’un compte. En général, les PSIC obtiennent des données financières par le biais d'API d'open banking afin de fournir à leurs clients des services tels que des aperçus des dépenses, des conseils en matière de budget et des astuces pour économiser de l'argent.

Que sont les prestataires de services d'initiation de paiement (PSIP, ou PISP en anglais) ?

Un PSIP peut initier des paiements à partir d’un compte d'un client avec le consentement explicite de ce dernier. Pour ce faire, les PSIP sont agréées par l'Autorité de contrôle prudentiel et de résolution (ACPR).  Ces paiements peuvent être effectués pour payer une autre personne, pour transférer de l'argent vers un autre compte bancaire ou pour payer un produit ou un service en ligne.

Que sont les PSPGC (ou ASPSP en anglais) ?

Un PSPGC, par exemple une banque, fournit et gère des comptes de paiement pour ses clients. Conformément à la deuxième directive sur les services de paiement (DSP2), tous les PSPGC doivent permettre aux fournisseurs externes d'accéder aux données du compte et d'initier des paiements lorsqu'ils ont le consentement du client pour le faire.

Puis-je utiliser les API d’open banking ?

Seules les structures autorisées peuvent utiliser les API d'open banking. En France, la Banque de France réglemente tous les prestataires de services open banking, y compris les PSIC, PSIP et PSPGC. D'autres pays et régions ont leurs propres organismes de réglementation. Pour en savoir plus sur la manière de se conformer aux réglementations relatives à l'utilisation ou à l'offre de services  open banking, consultez notre guide dédié.

Qu'est-ce qu'un certificat eIDAS et comment puis-je l'obtenir ?

En vertu d'un règlement européen de 2016, les signatures électroniques peuvent avoir le même niveau de validité juridique qu'une signature manuscrite. Toutefois, pour que ce soit le cas, les signatures électroniques doivent être conformes au règlement eIDAS, qui signifie en français « identification électronique, authentification et services de confiance ».

Dans le cadre de l’open banking en Europe, les certificats eIDAS permettent aux prestataires de services de paiement gestionnaires de comptes (PSPGC), tels que les banques, d'identifier et d'autoriser les connexions API des prestataires tiers comme les prestataires de services d’initiation de paiement (PSIP) et les prestataires de services d’information sur les comptes (PSIC). Cette mesure est un élément clé pour empêcher un accès frauduleux aux comptes bancaires.

Les prestataires d’API d’open banking et leurs spécifications

Il n'existe pas d'API « officielle » unique.  Par contre, les banques et les prestataires de services techniques fournissent leurs propres API, qui doivent être conformes aux exigences fixées par la réglementation sur l'ouverture des services bancaires.

Où puis-je trouver les spécifications d'API d’open banking ?

La spécification API lecture/écriture est la principale spécification API qui dicte comment les prestataires tiers doivent se connecter aux banques.  Elle permet aux prestataires tiers d'accéder aux comptes bancaires en lecture (pour obtenir le solde du compte et des informations sur les transactions) et en écriture (pour effectuer des paiements autorisés).

Qu'est-ce que la spécification OpenAPI ?

La spécification OpenAPI indique comment les banques créent des points d'accès pour les prestataires tiers (TPP). Elle précise les modalités selon lesquelles les TPP doivent pouvoir utiliser l'API de lecture/écriture d'une banque.

Qu'est-ce que l'enregistrement dynamique du client ?


L'enregistrement dynamique du client est un processus par lequel les banques peuvent automatiser l'inscription de nouveaux prestataires externes sans avoir à authentifier chacun d'eux manuellement.

Quelles sont les performances, le temps de fonctionnement et la fiabilité des API d’open banking ?

L'open banking dépend, dans une large mesure, de la performance, de la disponibilité et de la fiabilité des API. Les performances peuvent varier selon les banques. Vous pouvez consulter sur cette page l’évaluation des offres et portails d’API des banques et établissements financiers français et internationaux.

L’open banking et le « screen scraping » : quelles sont les différences ?

Le « screen scraping » (ou capture de données d’écran) est une ancienne méthode permettant d'accéder au compte bancaire d'un client pour récupérer des données sur les transactions. Il fonctionne comme suit :

  • Le client partage ses informations de connexion avec un prestataire tiers (TPP).

  • Le prestataire tiers utilise ces informations pour se connecter au compte bancaire du client.

  • Le prestataire tiers copie (ou « gratte ») les données bancaires du client pour les utiliser en dehors de l'application bancaire du client.

Avant la création de l'open banking, le screen scraping était le seul moyen pour les applications d'accéder aux comptes bancaires des clients. Il était largement utilisé par les logiciels de comptabilité en ligne. Cependant, l'open banking est une méthode plus sécurisée du fait qu’elle ne nécessite pas les informations d'identification du client.