API et banque
API Economy 3/4
1. Les enjeux
Avec le niveau actuel de connectivité et de partage des données, toute entreprise peut utiliser les API pour activer une série de services à travers son écosystème. Lequel écosystème inclut non seulement les départements de l’entreprise, mais aussi des tiers, externes, qui peuvent amener des solutions innovantes. Les entreprises du secteur financier qui disposent d’une grande base d’utilisateurs, le plus souvent avec des besoins et des problèmes homogènes, sont celles qui ont le plus à gagner de cette démarche. Par exemple, les modèles d’abonnement donnent aux entreprises de services financiers la possibilité de se développer bien au-delà de leur cœur de métier : on parle de Bank as a Service (BaaS).
Le BaaS est le résultat d’une double évolution, technologique et réglementaire. Technologique : les services ouverts par le cloud et les APis. Réglementaire : la directive européenne sur les services de paiements (DSP1 en 2009 et DSP2 en 2018) qui a permis d’établir un socle de sécurité et de confiance. Dès lors, le partage de données a pu se développer entre des acteurs du monde bancaire traditionnel, et des start-up dites des “FinTech” (finance) et des “RegTech” (réglementation).
Grâce à la quantité de données dont elles disposent, les banques détiennent une position idéale pour interagir avec leur clientèle et adapter leurs services à la demande. Des banques comme DBS (Singapour) et BBVA (Espagne) ont investi massivement dans les API pour offrir des solutions personnalisables et des expériences sur mesure à leurs clients. Début octobre, BBVA a annoncé son arrivée sur le marché italien de la banque de détail avec une offre de services bancaires numériques gratuits. Largement digitalisée (62% de ses clients interagissent via l’appli mobile), BBVA propose aux Italiens une carte de paiement sans numéro, avec un code de vérification dynamique : une clé de sécurité est générée par l’application à chaque transaction.
Les activités B2B sont également concernées : une organisation peut fournir dans une même formule un guichet unique de comptabilité et de paie, lequel guichet intègre des services bancaires. Starling Bank a utilisé un modèle de plateforme pour créer l’une des meilleures marketplaces du Royaume-Uni. Elle propose aux clients une solution allant des services d’assurance aux programmes de fidélisation en passant par des solutions comptables pour les entreprises ou des produits hypothécaires.
À l’origine simple site web de vente de snowboards, la plateforme de commerce électronique canadienne Shopify est un autre bon exemple de cette stratégie, qui consiste à aller au-delà du paiement en intégrant des solutions de services financiers sur abonnement. Shopify capte ainsi plus de valeur et de leur côté, ses clients peuvent utiliser une plateforme unique pour lancer leur boutique en ligne, vendre sur plusieurs canaux, et gérer tout ce qui concerne l’exploitation de leur entreprise (clients, produits, stocks, paiements et expédition)… grâce aux APIs.
2. L’exemple : Stripe
Lancée en 2010 par les frères irlandais John et Patrick Collison, l’entreprise californienne Stripe proposait à l’origine un module de paiement par internet clé en main pour les professionnels, intégrant les cartes bancaires, les prélèvements Sepa, PayPal puis Apple Pay et des dizaines de moyens de paiement dont les cryptomonnaies.
Stripe joue un rôle d’intermédiaire entre le commerçant et la banque et prélève au passage des frais et une commission sur chaque transaction. Son point fort : un parcours utilisateur simple et soigné, que ce soit pour les vendeurs, les acheteurs… et les développeurs.
La startup permet de conduire des opérations complexes et s’adresse aux petites structures novices comme aux géants tels que Facebook ou Salesforce. Stripe a conquis des clients en leur proposant des outils qui vont au-delà du paiement : il est possible par exemple de gérer ses déclarations de taxe et de TVA ou encore de traquer les fraudes avec Radar, un outil intégrant de l'intelligence artificielle. La société construit en outre son propre écosystème en développant des API et en s'intégrant à d'autres services (Slack, Salesforce, Shippo, etc.)
L’entreprise américaine a su tirer avantage de la crise du coronavirus et du boom des achats en ligne en accueillant de nombreuses sociétés sur sa plateforme, notamment le marché de Rungis en France. Les investisseurs se sont bousculés en 2020 pour profiter de son essor, à commencer par le géant de la création de sites e-commerce Shopify, déjà partenaire de Stripe.
Depuis sa création Stripe bat tous les records de levées de fonds. Elle est valorisée autour de 95 milliards de dollars, et son entrée en bourse interviendrait dans les prochains mois, selon le Wall Street Journal.
3. L’APisation chez… Crédit du Nord
Hammouda Jday dirige l’équipe Architecture d’entreprise depuis janvier 2020, au sein du département Architecture Projet Organisation Qualité (APOQ) du Crédit du Nord.
Les APIs faisaient-elle partie de votre projet initial ?
- Tout à fait. La première mission était de contribuer aux plans stratégiques, le recours à l’open banking était souvent mentionné. Cela fait partie des fondamentaux. Quand on parle aux métiers, on parle d’open banking plutôt que d’API. C’est notre rôle de continuer à expliquer que l’API est un moyen de développer l’open banking, que par exemple je dois être capable de proposer demain à mon client une offre composite avec des services internes et des services externes. L’APi c’est le “comment ?” et l’open banking, c’est le “quoi ?”.
Quelle démarche avez-vous suivie, comment avez-vous fait ?
- C’est une démarche en deux volets : l’acculturation et l’accompagnement. C’est la démarche que nous développons aujourd’hui. Je reviendrai plus tard sur ce sujet. Comme on accompagne les projets, on va veiller à ce que les projets réutilisent au maximum les API, On s’appuie aussi sur les architectes IT pour faire le lobbying ensemble
Quelle place a l’APIsation dans votre entreprise ? Pourquoi ?
- Dans le groupe Société Générale, depuis 2015 il y a eu une prise de conscience côté IT et la mise en place d’une gouvernance à l’échelle du groupe. À partir de 2017 il y a eu une volonté de faire monter la gouvernance jusqu’aux métiers qui étaient totalement absents de la démarche. L’IT a considéré qu’ils avaient atteint un niveau de maturité suffisant. Au niveau des Business units, c’est fait d’une façon très hétérogène.
Cela manquait au Crédit du Nord, où historiquement on ne parlait pas d’APisation et d’open banking, mais en même temps le Crédit du Nord a des partenariats (par exemple pour créer des sites web à destination des clients pros) et il existait des pratiques d’open banking sans le savoir. Il manquait la partie intégration. Rien ne transitait entre les partenaires et l’IT interne.
À partir de 2019 il y a eu une vraie volonté de la DG d’accélérer cette industrialisation et de mettre au niveau le SI sur ces sujets d’open banking alors même que les métiers étaient en avance en termes d’usage.
Aujourd’hui on a environ 680 APis, 680 services existants, dont une quinzaine de grosses APis robustes et utilisables à l'extérieur, le reste nécessiterait parfois une refonte ou des développements pour pouvoir les ouvrir à l’extérieur. Développer une API au sens standard du marché cela a un coût, en raison d’enjeux de sécurité forts. On reste toujours sur une grosse part d’APi exclusivement internes, peu intéressantes à ouvrir.
Comment ont émergé ces 15 APIs robustes ?
- La plupart se sont imposées d'elles-mêmes grâce à une norme réglementaire pour les cartes de paiement, la PCI. À partir du moment où on a ouvert, les métiers ont suivi. Même si c'était vu comme une contrainte assez forte au départ. On n’a pas pu le faire en interne au départ, on a monté une plateforme cloud chez Amazon. Les 15 APIs sont restées chez Amazon Web Services (AWS), les autres sont supportées par une infrastructure interne.
Qu’est-ce que les APIs vous permettent aujourd’hui et que vous n’aviez pas envisagé hier ?
- Il faut d’abord penser à apporter de la valeur à nos clients. Si on pense ROI et bénéfice immédiat on n’y arrive pas car les investissements sont lourds. Il faut accepter d’investir sur ces sujets sans se poser la question du ROI, car l'investissement est vital, on est sûr qu’un jour ce sera rentabilisé.
Sur la signature électronique par exemple - un de nos 680 services internes - on s’appuie sur un partenaire externe, un composant qui n’est pas dans notre SI et qui s’appelle Idemia auquel on ajoute une couche d’intégration interne qui permet de changer éventuellement le composant.
Si on avait la possibilité de proposer cette signature électronique à nos clients entreprises, ce serait un vrai apport de valeur, un besoin couvert. Mais pour le faire, il aurait fallu transformer complètement le service. On milite donc pour que ce service voit le jour dans le cadre de la nouvelle banque. On a pensé une solution pour nous, mais si on l’avait pensée comme un service ouvert pour les clients de nos clients, on aurait eu un coup d’avance.
Comment évaluez-vous le ROI à date de vos APIs ?
- On essaie de casser cette évaluation. Lorsque Google met à disposition un service comme Google Maps, il est gratuit jusqu’à un certain niveau d’utilisation. Si on crée le besoin, on ne facture pas forcément mais si les clients l'utilisent davantage, là on crée du bénéfice. On essaie de pousser cet argument auprès des métiers. La culture banque c’est beaucoup “risque et ROI”, ce n’est pas facile à changer. On a parfois peur de la réglementation, de la fuite des données, c’est pour ça que le secteur bancaire a pris du retard à force de vouloir maîtriser les risques avant de développer le business. Sur le risque, on doit rassurer, le cloud peut être davantage sécurisé que notre propre SI. Sur les enjeux liés à la manipulation de la data, avec des réglementations qu’on ne maîtrise pas, c’est différent. Si demain on a un cloud européen pour les banques, on pourra aller beaucoup plus rapidement vers de nouveaux usages. Aujourd’hui il y a des aspects juridiques forts. On travaille beaucoup avec les équipes d’Hélène [Bonfils ndlr] sur les sujets Data.
Quelle promesse les APIs doivent-elles tenir pour votre activité, votre développement de demain ?
- Pour moi les APIs doivent apporter plus de valeur aux clients, permettre aux banques de mieux s'intégrer dans un environnement qui évolue en permanence. On a de plus en plus de choses gérées en externe. En se donnant les capacités de créer des services innovants, on offrira de la valeur et de la satisfaction à nos clients et des bénéfices pour la banque. Sans parler de l’image, de la communication sur cette capacité de la banque à innover. L’innovation sera dans la capacité à chercher des services existants et à les recomposer.
Envisagez-vous de nouvelles solutions, de nouveaux interfaçages, une nouvelle démarche ?
- Les nouvelles APIs seraient la gestion documentaire au sens large, c’est un service que les métiers attendent et ce serait quelque chose de différenciant, d’innovant. La signature électronique, le stockage des documents dématérialisés, pourraient ensuite être des services pour une PME et ses propres clients.
Tout ce qui est agrégateur de comptes de différentes banques, voire agrégateur comptable pour les entreprises, ça devrait voir le jour à court ou moyen terme, d’autres sont peut-être déjà en train de le faire.
Il faut penser un service comme un service ouvert, évolutif. Si on doit refaire les 680 applications, ce serait l’idée, même si on me répond que ça coûte cher !
Quelles sont les 3 grandes règles que vous partageriez sur l’APIsation de votre activité ?
1- Ne pas raisonner ROI dès le début, sinon on n’avance à rien
2- Penser API ouverte dès le départ
3- Penser la sécurité au sens large : rassurer les métiers d’abord et in fine les clients
4. Les impacts
En guise de conclusion, à retenir sur les API et la banque :
- Dans l’open banking, la donnée bancaire est une ressource qu’il faut sécuriser mais aussi agréger et partager avec ses partenaires pour créer de la valeur.
- Avec les néobanques, les mouvements de marché s’accélèrent et la clientèle peut basculer rapidement en cas d’insatisfaction
- Si les APIs permettent d'augmenter la taille d'un écosystème, la valeur de cet écosystème augmente pour tout le monde et crée de la valeur.
5. Les ressources
Panorama des néobanques en France (KPMG-Ipsos, janvier 2020, pdf)
Interview de Guillaume Princen, directeur général de Stripe pour la France et l’Europe du Sud (janvier 2020, en anglais, 4’25)
