Destinée autant aux collaborateurs internes que, désormais, aux étudiants (dans une optique de recrutement) et à certains clients, la troisième édition de la TechWeek de la Société Générale a été, du 12 au 14 Novembre 2019, l'occasion de présenter les initiatives digitales et la stratégie d'open-banking du groupe bancaire. Près de deux cents cas d'usages ont ainsi été mis en avant au travers de start-up internes disposant de stands. C'est également à cette occasion que la Société Générale a lancé, en collaboration avec le cabinet Wavestone, l'édition 2020 des Banking Innovation Awards qui seront attribués aux innovateurs dans les domaines de la donnée, de l'intelligence artificielle (IA) et de la cybersécurité. Les start-ups souhaitant concourir ont jusqu'au 7 février 2020 pour le faire sur le site des Banking Innovation Awards.
Certes, les évolutions réglementaires (comme la DSP2, Directive européenne sur les services de paiement) poussent la Société Générale, comme toutes les autres banques, à l'ouverture et au digital. Plutôt que de subir, la banque de La Défense a une stratégie offensive régulièrement et intensément promue. L'open-banking est devenu un fer de lance de sa stratégie alors que la plupart des banques craignent de perdre des clients ou de la possibilité de leur vendre des services. Pour la Société Générale, l'open-banking est dans les deux sens : entrant avec l'approche « Bank as a Platform » (agréger des services autour de sa banque, d'abord financiers ou immobilier, demain de secteurs tels que la santé), sortant avec la « Bank as a Service » (proposer des briques de services à des partenaires).
Des concepts encore en émergence
Pour l'heure, la banque présente surtout une vision. Beaucoup des concepts sont encore en émergence, même si les premiers services sont bien là. Certaines filiales sont plus avancées que d'autres. Par exemple, le site web de la Société Marseillaise de Crédit (groupe Crédit du Nord, filiale de la Société Générale) est d'ores et déjà organisé en univers de besoins et prêt à accueillir les services des partenaires. Les conseillers bancaires n'ont pas vocation à se former à tous les services mais, par contre, à savoir orienter les clients vers le bon univers de solutions. Traditionnellement banque des PME/TPE et des entrepreneurs, le Crédit du Nord a été cité en exemple par Philippe Aymerich, directeur général délégué de Société Générale, pour ses premiers services d'accompagnement. « Parfois, nous avons une rémunération des partenaires en tant qu'apporteur d'affaire mais le premier objectif est de servir notre client, de l'aider à se développer et donc de le fidéliser » a expliqué Philippe Aymerich.
Dans les partenaires ainsi accolés au Crédit du Nord, certains accompagnent ainsi les petites entreprises dans leur conformité RGPD ou leur cybersécurité. Philippe Aymerich a ainsi considéré que si un client mettait la clé sous la porte parce que son SI était piraté, cela faisait un client en moins. A ce jour, le Crédit du Nord a signé une trentaine de partenariats avec des prestataires tiers. A terme, la SSO bancaire devra permettre, grâce aux API bancaires, de circuler en toute fluidité autant sur le site web de la banque que sur les services des partenaires. Par contre, utiliser l'identité bancaire comme identité pour des services tiers, à la manière de l'identifiant Google ou Facebook, semble exclu. Pour Philippe Aymerich, ce serait « une grosse responsabilité et France Connect est très bien pour cela. » Cela n'empêche pas Boursorama, autre filiale de la Société Générale, de nouer un partenariat avec Google pour utiliser Google Home.
La sécurité, une opportunité
La sécurité est à la fois un point fort du « vendeur de confiance » qu'est la banque et un domaine de services comme d'innovations. Ainsi, la reconnaissance automatisée de passeports ou de cartes d'identité et leur contrôle par IA libère du temps pour le conseiller et réduit donc d'autant les frais de gestion tout en garantissant le « nativement conforme à la réglementation ». Parmi les start-ups internes présentées à la TechWeek, Digitrade utilise l'IA pour aller plus loin et gérer la conformité de documents (initialement papier et scannés) produits dans les opérations de marché ou les transports. Le machine learning est utilisé pour dégrossir le travail des collaborateurs afin de valider la conformité aux multiples règles, y compris avec du rapprochement avec des sources externes (comme le fichier des Lloyd's). L'IA ne remplace pas l'humain mais permet de lui faire gagner du temps et de réduire les risques.
Mais la sécurité est aussi une préoccupation très réglementée. Ainsi, à cause des possibles piratages de cartes SIM, le SMS va disparaître comme outil de validation d'opérations. Le recours à une application sur smartphone va donc se généraliser. Mais l'accès via un code PIN restera obligatoire, même si le smartphone est verrouillé par empreinte digitale : cette dernière est en effet gérée par le fabriquant du smartphone et la banque ne peut donc pas la certifier, donc l'utiliser. Pour cette raison aussi, la biométrie présente de nombreux inconvénients dans l'univers bancaire. La réglementation devient de plus en plus sévère : le SMS pour le e-commerce devrait ainsi disparaître d'ici fin 2020. Et, pour les fintechs se connectant aux sites web bancaires, le webscrapping (simuler les interactions d'un utilisateur humain avec les codes du client) devrait cesser d'être toléré début 2020. Les fintechs n'auront alors pas d'autre choix que d'intégrer les API bancaires dans leur SI.
Les API deviennent des services
Petite pépite rachetée par la Société Générale, Treezor surfe sur cette complexité. Elle se présente comme une « banque en marque blanche ». Tout initiateur d'un service digital intégrant une dimension de paiement peut s'appuyer sur Treezor pour gérer non seulement les paiements en eux-mêmes (avec interactions bancaires, Visa, etc.) mais également la conformité réglementaire de ceux-ci. Etablissement de paiement agréé, Treezor peut aussi émettre des cartes bancaires au nom de ses clients. Une cinquantaine de projets sont déjà opérationnels et l'objectif affiché est d'en ajouter une vingtaine par an.
Autre usage des API : SGmarket. Cette « place de marché » vise à la mise à disposition d'API, de widgets et de jeux de données comme autant de briques disponibles pour monter des services rapidement. Mais l'innovation présentée lors de la TechWeek ne se limite pas à la sécurité stricto sensu ou aux API. Evidemment, la blockchain ne pouvait que s'inviter au catalogue. Forge est ainsi une start-up interne, issue de l'internal start-up call, qui vise, au travers d'une blockchain publique Ethereum (au contraire des blockchains communautaires), à gérer la totalité des process d'échanges d'actifs digitaux.