L’entrée en vigueur de la DSP2 change la donne en matière de transparence sur les données bancaires. La nouvelle réglementation européenne exige des banques qu’elles ouvrent l’accès à leurs données à des acteurs tiers autorisés, comme les agrégateurs de compte.

Désormais rigoureusement encadré, l’accès aux données est réservé à des acteurs agrémentés par l’ACPR. Le recueil des informations se fait soit en scrapant les données sur le site de l’établissement bancaire, soit via des API légales, sécurisées et réglementées.

Agrément ACPR : pourquoi faire appel à un prestataire agréé ?
L’agrément ACPR garantit la conformité des prestataires de services de paiement avec la réglementation. Zoom sur ce précieux sésame et ses avantages.

Progressivement, les API légales sont amenées à remplacer la pratique du web scraping qui prévalait encore récemment… mais la transition prend du temps.

Quelles sont les différences entre le web scraping et l’utilisation d’API ? Quels sont les enjeux de cette transition ?

I. Web scraping ou API : quelles différences ?

1. Qu’est-ce que le web scraping ?

Le web scraping est une pratique qui consiste à extraire les données d’un site ou d’une page web.

De manière générale, le scraping fonctionne de la façon suivante. L’utilisateur sélectionne le type de données qu’il souhaite récolter. Ensuite le scraper scanne le code de la page concernée et extrait les données souhaitées. Une fois qu’il a recueilli les données brutes, le scraper les restructure pour faciliter leur utilisation ultérieure.

Dans le contexte de l’agrégation bancaire, le web scraping permet au prestataire d’accéder aux données d’un client en utilisant les codes d’accès de son espace personnel. Quand il s’agit d’acteurs importants de l’agrégation, c’est leur solution qui fait le scraping de manière ciblée et « propre ».

Cette solution a l’avantage d’être relativement simple à mettre en œuvre. Elle permet une extraction rapide et ciblée des données bancaires.

Cependant, elle apparaît peu sécurisée du point de vue des institutions financières.

2. Qu’est-ce qu’une API ?

Une API (Application Programming Interface) est une interface qui permet de connecter deux applications.

En utilisant une API, vous permettez à votre produit ou service de communiquer directement avec un autre produit ou service.

Dans le cadre de l’open banking, les acteurs tiers autorisés peuvent donc se connecter via API aux données de l’établissement bancaire pour recueillir des informations.

Pour les établissements bancaires, cette solution apparaît plus sûre puisqu’ils conservent le contrôle sur les données accessibles aux agrégateurs et autres acteurs tiers.

Open banking, DSP2 : pourquoi c’est si long ?
L’open banking redessine l’écosystème bancaire en incitant les banques à ouvrir l’accès à leurs données clients. Focus sur les enjeux.

3. API vs Web Scraping : le jeu des 5 différences

Web scraping et API répondent à un même objectif : extraire des données auprès d’un acteur extérieur.

Cependant, les deux méthodes présentent des différences majeures

  • Accès aux données : le scraping permet d’extraire les données de n’importe quel site alors que les API vous donnent un accès direct aux données souhaitées.
  • Transparence : les web scrapers peuvent scanner toutes les données figurant sur une page. A l’inverse, l’utilisation des API est une sorte de « contrat » : la nature des données partagées et les protocoles d’extraction sont définis entre les deux parties
  • Sécurité des données : les API permettent d’ouvrir l’accès aux données en maintenant un niveau de contrôle et de sécurité élevé. Le propriétaire des données choisit quelles ressources il souhaite partager et avec quels acteurs tiers.
  • Innovation : rendre ses API accessibles à des partenaires ou à des acteurs tiers peut permettre de générer de nouvelles opportunités de revenus. C’est aussi une source d’innovation car le développement et la collaboration externes favorisent l’apparition de nouveaux usages.
  • Légalité : la DSP2 réglemente l’accès aux données bancaires. Seuls les prestataires de paiement agrémentés ACPR pourront se connecter aux données bancaires. Aujourd’hui, un acteur qui dispose d'un agrément ACPR peut tout à fait scraper les banques de manière légale du moment qu’il se signale au moment de l’opération. Ce scraping autorisé permet aux acteurs réglementés de se démarquer des scrapers sauvages. A terme, la généralisation des API devrait sonner la fin de ce type de fonctionnement.

II. Les freins des banques sur la question des API

On aurait pu imaginer que les banques se réjouissent de la fin programmée du web scraping au profit des API. En effet, l’utilisation des API va dans le sens d’un meilleur contrôle des données.

Pourtant, l’open banking apporte aussi son lot de contraintes, ce qui explique les freins sur la mise en place des API.

Ces freins sont de différentes natures.

En premier lieu, il existe un frein technique. Pour répondre aux exigences de la DSP2, les banques sont tenues de développer rapidement leurs propres API. Or, si les acteurs tiers sont agiles et maîtrisent cette technologie récente, les établissements bancaires doivent parfois construire sur la base de systèmes d’information lourds et datés.

Autre frein : le partage de l’information. Des divergences apparaissent parfois entre les souhaits des agrégateurs d’accéder à des données complètes et pleinement exploitables et la tentation des banques de limiter l’accès à certaines données qu’elles considèrent comme sensibles.

Enfin, les banques déplorent le manque de temps pour développer ces API. En effet, outre l’open banking, la DSP2 a aussi obligé les banques à se mettre en conformité sur le sujet de l’authentification forte.

Or, l’authentification forte, avec le renouvellement des mots de passe clients tous les 90 jours, constitue un frein à l’agrégation. En engendrant de nouvelles contraintes auprès des utilisateurs, cette exigence complique l’utilisation des outils d’agrégation.

" Le développement des API est un moyen de réguler l'accès aux données bancaires et de faire collaborer les différents acteurs de l’écosystème. "

III. Les stratégies adoptées par les acteurs bancaires

Avec l’entrée en vigueur de la DSP2, les banques ont dû initier ou renforcer leur stratégie d’ouverture des données. A minima, la réglementation les obligeait en effet à développer trois API : agrégation de comptes, initiation de paiement et couverture de solde.

Si la plupart des banques s’en sont tenues au développement de ces API réglementaires, certaines ont aussi saisi l’opportunité de diversifier leur catalogue d’API. Elles ont par exemple proposé des informations sur les assurances ou encore des programmes de fidélité.

Sur le volet de l’agrégation, le premier réflexe chez les acteurs historiques a été de s’associer avec des agrégateurs de comptes pour développer des services conjoints.

L’apparition d’acteurs développant des API ouvertes devrait encore bouleverser le business model des banques classiques. Plusieurs options s’offrent à elles :

  • Développer et distribuer leur propre gamme de produits et services sans nouer de partenariats avec des acteurs tiers
  • Mettre à disposition leur infrastructure et leurs services via des API sans avoir de contact direct avec le client final
  • Développer leurs propres produits et les distribuer via des acteurs tiers
  • Se focaliser sur la distribution de produits financiers dans une logique de marketplace
API vs webscraping

IV. Pourquoi faire appel à un acteur ayant une vision Open API

Le marché bancaire évolue. Les attentes des clients finaux vont dans le sens de l’open banking. La réglementation européenne encourage la transparence sur les données.

Et, dans les faits, depuis que le web scraping existe, le monopole des banques sur les données de leurs clients n’est plus effectif. Des acteurs tiers ont accès aux données bancaires.

Le développement des API est justement un moyen de réguler cet accès et de faire collaborer les différents acteurs de l’écosystème.

Cette vision d’ensemble montre bien que tout va dans le sens d’une ouverture totale des API. Le web scraping, longtemps toléré, est voué à disparaître.

De ce point de vue, les acteurs full API anticipent dès aujourd’hui les usages de demain. Leur optique n’est plus de se demander comment collecter les données mais de se projeter dans une utilisation qualitative de la data. En collaborant avec un prestataire open API, vous pourrez légalement et en toute sécurité développer des usages en phase avec vos objectifs business.

Les nouveaux usages de l’agrégation de comptes bancaires
L’agrégation de comptes offre de nouvelles perspectives aux acteurs financiers. Cashback, recouvrement, expertise comptable, zoom sur ces nouveaux usages.

La fin du web scraping est déjà programmée. La vision open API gagne déjà du terrain. La donne change. Et si vous preniez dès maintenant un coup d’avance sur vos concurrents ?