Evaluation API DSP2

La 2ème directive sur les services de paiement (DSP2) étend la régulation européenne à de nouveaux prestataires de services de paiement (PSP tiers), encadre le partage des données bancaires et renforce les exigences sécuritaires en faveur des consommateurs. C’est un véritablement bouleversement pour les établissements gestionnaires de compte.

La directive DSP2 oblige les banques à partager avec les tiers prestataires de services de paiement (PSP tiers) les données des comptes bancaires de leurs clients, en leur donnant accès au service de consultation de compte, d’émission de virement… Actuellement, les agrégateurs de comptes utilisent la technique du « screen scraping » (capture de données d’écran) pour récupérer les données des comptes bancaires. La directive européenne DSP2 interdit l’usage de cette technique, remplacée par des interfaces sécurisées dénommées API (Application Programming Interface). Ces interfaces de partage de données vont devoir être mises en place par les banques, en respectant des standards techniques.

La Banque de France est l’organisme certificateur sur le périmètre France. Le règlement permet l’exemption d’un mécanisme de secours (Fallback) de l’API si celle-ci est évaluée par un centre d’évaluation « CESTI ».

Lors de la réunion du 9 avril dernier réservée aux CESTI, elle nous a permis de préciser la méthodologie et les contraintes de l’évaluation de l’API DSP2 à but d’exemption.

En tant que CESTI ayant participé à cette réunion, SERMA est parfaitement à même de comprendre les enjeux imposés par la banque de France ainsi que la méthodologie d’évaluation.