Une nouvelle manière d’envisager les services bancaires semble s’ouvrir avec le développement du banking as a service.
Reprenant la terminologie bien connue en informatique du software as a service (le « SaaS »), qui désigne un logiciel installé sur un serveur que l’utilisateur exploite à distance, le banking as a service (le « BaaS »), est une plateforme technologique hébergée en cloud qui permet la fourniture de services de paiement par de nouveaux acteurs.
Face au développement et au succès grandissant que rencontrent les interfaces de programmation ouvertes (les « Api »), de nombreux acteurs non-bancaires en ont profité pour développer à leur tour un ensemble de services de paiement clés en main, « en libre-service » dans le cloud, destinés à des prestataires de services de paiement en quête de nouvelles solutions innovantes et flexibles. Ainsi, ces derniers peuvent décider, à leur convenance, de recourir au BaaS auprès d’un prestataire technique pour qu’il mette notamment à leur disposition, des services bancaires de bases ou des services de gestions de portefeuille.
Ce modèle de « morcellement des services de paiement » a pour conséquence de bousculer le schéma classique bancaire dans lequel l’offre, allant de la fourniture du carnet de chèque à l’ouverture et la gestion du compte bancaire, était traditionnellement globale.
L’enjeu majeur réside dans le fait que ces nouveaux acteurs ne sont pas agréés auprès de l’Autorité de contrôle prudentiel et de résolution (ACPR) et ne sont donc pas soumis à une obligation spécifique de sécurité, comme peuvent l’être les prestataires de services de paiement (Arrêté 3-11-2014, art. 255). Dès lors, cette externalisation de services bancaires ne nuit-elle pas aux obligations de sécurité propres aux prestataires de services de paiement ?
Pourquoi recourir au banking as a service (BaaS) ?
L’atout majeur du banking as a service est d’ordre technique puisqu’il offre au prestataire de services de paiement la possibilité de disposer d’un système informatique agile, flexible et innovant, tout en se dispensant d’investissements humains et financiers que ce type de développement aurait naturellement impliqué.
Les prestataires de services de paiement ne constituent pas les uniques cibles du banking as a service, puisque ce service s’adresse également à des groupes digitaux ou des start-up qui souhaiteraient élargir leur offre en proposant des services bancaires à leurs clients, mais sans avoir à gérer l’infrastructure technique et complexe de ce type de services.
Quels sont les risques juridiques ?
L’arrêté du 3 novembre 2014, relatif au contrôle interne des entreprises du secteur de la banque, des services de paiement et des services d’investissement soumis au contrôle de l’ACPR (1), règlemente les exigences en matière de contrôle interne des prestataires de services de paiement. A ce titre, l’accent est en particulier porté sur le maintien du contrôle interne malgré l’externalisation de services de paiement.
Ainsi, l’externalisation de certains services, tels la réception de fonds remboursables du public, les opérations de crédit, ou les services bancaires de paiement (CMF, art. L.311-1) (2) ne peut se réaliser qu’auprès de prestataires de services de paiement.
Pour les autres services qui ne sont pas visés dans cet article, l’externalisation est permise, mais elle ne doit pas néanmoins compromettre le contrôle interne mis en place par l’établissement (Arrêté 3-11-2014, art 252).
Cependant, le banking as a service, ne constitue pas en tant que tel une externalisation du service puisque l’établissement bancaire continue d’assurer la fourniture du service hébergé en SaaS auprès de ses clients. En effet, le BaaS n’est qu’un moyen technique de gestion des services de paiement.
Toutefois, on peut se poser la question si cette externalisation n’est pas susceptible de mettre en péril l’exigence de sécurité à laquelle les prestataires de services de paiement sont tenus. En effet, alors que l’externalisation auprès de prestataires de services de paiement ne soulèverait pas de problèmes, elle mériterait d’être davantage encadrée lorsqu’elle est effectuée auprès de prestataires techniques qui n’ont pas de statut juridique spécifique, et ne sont donc pas soumis à des obligations de sécurité renforcée.
Cela conduit dès lors à s’interroger sur la protection du secret bancaire. En effet, comment garantir la protection des données dans le cloud, lorsque ces données sont hébergées dans les « nuages » avec des millions d’autres données ? Cela est d’autant plus problématique que ces données ne sont pas sous le contrôle direct de la banque elle-même mais d’un prestataire technique qui définit lui mêmes ses propres mesures de sécurité, ce qui implique une attention toute particulière dans la rédaction et la négociation des contrats conclus avec le prestataire technique.
Quels sont les points d’attention d’un contrat BaaS ?
Tout comme pour l’utilisation du SaaS, le recours au BaaS implique la vigilance sur un ensemble de stipulations contractuelles.
Avant toute chose, il est impératif de déterminer les services et les données que l’on souhaite externaliser, et ce afin de pouvoir ensuite apprécier les différentes exigences de sécurité à mettre en œuvre.
Enfin, tout comme pour le contrat SaaS, la vigilance doit être apportée à la réversibilité, et aux niveaux de services et à leur auditabilité afin d’avoir une vision sur les engagements du prestataire.
Quel avenir pour les banques ?
Le BaaS répond à un besoin de souplesse des systèmes d’information des banques qui se complexifient avec le temps. La difficulté majeure à venir pour les banques ne vient pas tant de cette innovation, qui a vocation à les aider à se renouveler, mais à l’ouverture de leur système d’informations aux agrégateurs, qui disposent désormais d’un statut légitime (3).
L’ère de « l’open banking » (4) n’en est qu’à ses premiers balbutiements…
Frédéric Forster
Charlotte Le Fiblec
Lexing Constructeur Informatique et Telecom
(1) Arrêté du 3 novembre 2014 relatif au contrôle interne des entreprises du secteur de la banque, des services de paiement et des services d’investissement soumises au contrôle de de l’Autorité de contrôle prudentiel et de résolution (ACPR).
(2) Code monétaire et financier, article L.311-1.
(5) Directive n°2015-2366 du 25-11-2015 concernant les services de paiement dans le marché intérieur.
(6) Ninon Renaud, « La banque en kit fait florès en Europe », Les Échos du 10-4-2017.