1. Introduction

1.1. Contexte

La deuxième directive sur les services de paiement (PSD2) introduit de nouveaux rôles qui fournissent des services à un utilisateur de services de paiement (PSU) :

• les prestataires tiers (TPP), qui se répartissent en trois catégories

  • les prestataires de services d'information sur les comptes (AISP)

  • les prestataires de services d'initiation de paiement (PISP)

  • les émetteurs d'instruments de paiement liés à une carte (CBPII)

• les prestataires de services de paiement gestionnaires de comptes (ASPSP).

Chaque État membre doit transposer la PSD2 dans son propre droit national.

La PSD2 est complétée par un ensemble de documents fournis par l'Autorité bancaire européenne (EBA). Parmi ces documents, les normes techniques de réglementation (RTS) relatives à l'authentification forte du client (SCA) précisent certaines exigences, par exemple sur les principes de sécurité : traçabilité, authentification forte du client…

1.2. Mission

STET a été mandatée par ses actionnaires pour concevoir et fournir une API ouverte (dite API STET PSD2) qui spécifie les différentes interactions entre TPP et ASPSP afin de réaliser les différents cas d'usage de la PSD2. Cette API pourrait être étendue à l'avenir à d'autres cas d'usage (hors PSD2), mais cette extension ne fait pas partie du mandat.

Les RTS pour la SCA étant désormais finalisées, cette version de l'API et de sa documentation prend en compte les nouvelles contraintes et règles qui ont été introduites.

Cette version inclut également

• des éléments qui ont été identifiés et étudiés en commun avec le BERLIN GROUP, dans une stratégie de convergence des différentes initiatives européennes d'API.

• des évolutions liées aux demandes de changement reçues après les premières publications de l'API STET PSD2.

L'API STET PSD2 ne couvre pas :

• les interactions entre PSU et TPP

• les interactions entre PSU et ASPSP

• la gestion des informations d'enregistrement

Les caractéristiques techniques de cette API sont fournies dans un fichier SWAGGER 2.0. Le présent document a pour objet de fournir des informations complémentaires sur cette API et de donner quelques exemples d'interactions.

1.3. Cadre légal

PSD2 :

• http://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:32015L2366

RTS de l'EBA sur la SCA et la CSC :

• https://eur-lex.europa.eu/legalcontent/EN/TXT/?uri=uriserv:OJ.L_.2018.069.01.0023.01.ENG&toc=OJ:L:2018:069:TOC

Avis de l'EBA sur la mise en œuvre des RTS sur la SCA et la CSC :

• https://www.eba.europa.eu/documents/10180/2137845/Opinion+on+the+implementation+of+the+RTS+on+SCA+and+CSC+%28EBA-2018-Op-04%29.pdf

EIDAS :

• http://eur-lex.europa.eu/legal-content/FR/TXT/?uri=celex%3A32014R0910

1.4. Licence

Cette spécification est publiée sous la licence suivante

« Creative Commons - Attribution 3.0 France (CC BY 3.0 FR) »

Ces travaux ont été coordonnés par STET avec les contributeurs suivants :

• BNP Paribas

• Le Groupe BPCE

• Le Groupe Crédit Agricole

• La Banque Fédérative du Crédit Mutuel - CIC

• La Banque Postale

• La Société Générale

• La Caisse des Dépôts et Consignations

• Le Crédit Mutuel - ARKEA

• HSBC France

• L'OCBF

• La Fédération Bancaire Française

• LUXHUB

• RAIFFEISEN LU

Cette version prend également en compte les travaux du Groupe de travail du CNPS français (Comité National des Paiements Scripturaux), coprésidé par :

• La Banque de France

• La Direction Générale du Trésor

Les participants au Groupe de travail autres que les banques étaient :

• L'ACPR (Autorité de Contrôle Prudentiel et de Résolution)

• La DINSIC (Direction Interministérielle des Systèmes d'Information et de Communication)

• L'AFEPAME (Association des Établissements de Paiement et de Monnaie Électronique)

• CGI Luxembourg S.A.

• MERCATEL

• La FEVAD (Fédération du e-commerce et de la vente à distance)

• L'ASF (Association française des Sociétés Financières)

• WORLDLINE

• BANKIN'

• LINXO

• BUDGET INSIGHT

• LYDIA

• LYRA NETWORK

• AMERICAN EXPRESS