Point de vue

FIDA : la nouvelle règlementation européenne pour l’ouverture de l’accès aux données financières

En synthèse

La Commission Européenne a proposé un nouveau cadre d'accès aux données financières (FIDA – Financial Data Access) le 28 juin 2023. FIDA est une initiative phare de la stratégie de finance numérique de l'UE et constitue la base législative de la mise en œuvre de l'Open Finance à l'échelle de l'UE.
FIDA permettra aux consommateurs et aux entreprises d'autoriser des tiers (les utilisateurs de données) à accéder à leurs données détenues par des institutions financières (les détenteurs de données). A quelques exceptions près liées aux produits de santé, tous les produits financiers seront concernés.
Cette proposition législative pour l’Open Finance présente deux différences clés par rapport à la Directive des Services de Paiement 2 (DSP2). Premièrement, les détenteurs de données pourront demander une compensation financière raisonnable pour rendre les données accessibles aux utilisateurs de données. Deuxièmement, les utilisateurs de données auront un accès en lecture de ces données, mais ne pourront pas effectuer de transactions pour le compte des clients. Ces deux éléments influeront probablement l’adoption et les cas d’usages de l'Open Finance.
Les détenteurs et les utilisateurs de données devront rejoindre un ou plusieurs schémas de partage de données financières (FDSS – Financial Data Sharing Schemes), qui régiront l'accès aux données. Les règles techniques applicables restent néanmoins à préciser. Les régulateurs et l'industrie devront tous deux tenir compte des leçons tirées de DSP2 et s'efforcer d'éviter les retards de mise en œuvre, la fragmentation du marché, et la complexification des parcours clients. Cet enjeu est d’autant plus prégnant tenu du large périmètre des données concernées.
Les échéances de mise en œuvre de FIDA nous semblent ambitieuses compte tenu des dispositions et des enjeux stratégiques, opérationnels et techniques pour les institutions financières. Mais quel que soit le calendrier finalement défini, l’approche « big bang » choisie par la Commission européenne aura probablement des impacts sur le pragmatisme des solutions choisies et l’adoption des consommateurs.
L’enjeu d’Open Finance pour l’industrie financière est de définir un modèle juste mais concurrentiel, porteur d’opportunités de développement. Le risque, déjà observé au déploiement de DSP2, est d’oublier dans la bataille règlementaire les attentes et besoins des clients, et de ne créer aucune valeur additionnelle.

En détail

Le 28 juin 2023, la Commission Européenne a publié sa proposition législative pour un nouveau cadre d'accès aux données financières (FIDA). Une fois finalisé, FIDA étendra les obligations de partage de données de paiement définies dans le cadre de DSP2 à presque toutes les données des services financiers. Ce cadre constituera la base législative de l'Open Finance dans l'UE.

Pilier de la finance numérique de l’UE, FIDA s'appuie sur d'autres initiatives clés, en particulier le Data Act¹, qui vise à harmoniser et rendre équitables au sein du marché commun les règles d'accès et d’utilisation des données. Ensemble, ces politiques visent à favoriser l'innovation axée sur les données et créer un écosystème numérique concurrentiel qui profiteraient aux consommateurs et aux entreprises de tous les secteurs, et notamment ici des services financiers.

La mise en œuvre de l'Open Finance est donc désormais lancée. Dans cet article, nous analysons les éléments clés de la proposition et partageons notre avis, en nous appuyant sur notre expérience de mise en œuvre de DSP2. Comme décrit dans l’article « De l'open banking vers l'open finance », les opportunités et les défis de l'Open Finance nécessiteront d'importants choix stratégiques, opérationnels et technologiques. Par conséquent, les acteurs de l’écosystème doivent commencer à réfléchir à la manière dont leurs stratégies, leurs modèles commerciaux, interfaces digitales et leurs opérations doivent évoluer en réponse à FIDA.

Note – FIDA a été lancé en même temps qu’un package législatif de Directive et Règlement sur l’accès aux données de services de paiements pour compléter les dispositions de DSP2. Veuillez cliquer ici pour accéder à notre analyse sur
le package législatif DSP3/RSP1.

Définition et périmètre

FIDA donnera aux consommateurs et aux entreprises le droit d'autoriser des tiers (les utilisateurs de données) à accéder et à utiliser leurs données financières. Ces dispositions de partage de données s’appuient sur les règles de DSP2. Cependant, alors que la DSP2 ne s'applique qu'aux comptes de paiement, FIDA couvrira presque toutes les données détenues par des institutions financières (les détenteurs de données).

En effet, le champ d’application (qui reste à confirmer) comprend des informations relatives aux crédits, produits d’épargne et d’investissement, aux crypto-actifs, aux produits retraites collectifs et individuels, et aux produits d'assurance IARD et prévoyance². Il comporte à la fois les données fournies par le client, les données issues des interactions avec le client, mais aussi les données relatives aux conditions particulières des produits et services. A noter, les données clients susceptibles d'augmenter directement le risque d'exclusion financière ne sont pas concernées. Ainsi, les données d’assurance santé, ou les données collectées dans le cadre des évaluations de solvabilité des consommateurs sont exclues du champ d’application du partage de données.

Les rôles de détenteur de données et d'utilisateur de données ne sont pas mutuellement exclusifs. Par exemple, un gestionnaire de produits d’épargne peut être tenu de partager les données client avec un utilisateur de données à la demande d'un client. Mais ce même gestionnaire de produits d’épargne peut être autorisé par ses clients à recevoir des données le concernant en provenance d'autres détenteurs de données, par exemple établissements de crédits ou gestionnaires de produits retraite collectifs, pour améliorer ses offres.

Cependant, contrairement à la DSP2, les utilisateurs de données ne pourront pas initier de transactions pour le compte du client, telles que l’initiation de virement ou l’ajout d’un bénéficiaire de virement par exemple, qui restent autorisés dans le cadre de la Directive sur les Paiements. Les avantages de certains cas d’usages pourraient être dès lors limités, par exemple avec les services de transferts de contrats de prêts ou d’assurances.

Mesures pour atténuer le risque d'exclusion financière

Le régulateur identifie avec Open Finance un risque d’exclusion financière lié à la création de profils de consommation plus précis grâce à la combinaison des données clients par les utilisateurs de données. Pour lutter contre ces potentielles dérives, la Commission Européenne demandera à l'Autorité bancaire européenne (ABE) et à l'Autorité européenne des assurances et des pensions professionnelles (EIOPA) d'introduire des garanties appropriées pour les consommateurs. Ces dispositions « guidelines » indiqueront dans quelles mesures les utilisateurs de données pourront utiliser les données de FIDA pour calculer des scores de crédit, évaluations de risques et tarification des produits d'assurances.

Obligations des détenteurs de données

Les détenteurs de données seront contraints de rendre les données client disponibles à un utilisateur de données sur demande de leurs clients. Les données en question devront être fournies de manière sécurisée, sans "retard injustifié, de manière continue et en temps réel", et dans un format fondé sur des "normes généralement reconnues". Les détenteurs et les utilisateurs de données devront les développer conjointement, dans le cadre de schémas de partage de données financières (FDSS). Si aucun détail normatif n’a pour l’heure été communiqué, il est probable qu’un règlement sur les standards techniques de communication et d’authentification soit publié au cours des prochaines semaines.

Les détenteurs de données devront également fournir à leurs clients un tableau de bord d’autorisation d’accès aux données financières pour leur permettre de surveiller, renouveler et retirer facilement les autorisations accordées aux utilisateurs de données.

Droit à une compensation raisonnable

Une des principales différences entre FIDA et les règles de DSP2 est le droit à une indemnisation pour la mise à disposition des données clients des détenteurs aux utilisateurs de données.

Ici se rencontrent FIDA et la Data Act, bien que les détails de cette interdépendance ne soient pas entièrement clarifiés à ce stade. La Data Act de l'UE établit un cadre de gouvernance trans-sectoriel pour le partage obligatoire et légal de données. La Loi européenne sur les données comprend des règles pour déterminer les niveaux de compensation équitables, à l’instar des coûts de production des données que les détenteurs de données peuvent considérer. FIDA viendra renforcer la Data Act si nécessaire. Il y est par exemple mentionné que la compensation pour les détenteurs de données doit être liée directement au coût de mise à disposition des données pour un utilisateur de données. Il appelle également à une méthodologie objective, transparente et non discriminatoire, axée sur les niveaux les plus bas du marché.

Utilisateurs de données

Les utilisateurs de données devront être autorisés par une autorité nationale compétente de l'UE, soit en tant qu'institution financière, soit en tant que Fournisseur de Services d'Information Financière (FSIP). Tout comme pour DSP2, les utilisateurs de données ne pourront accéder aux données qu'avec l'autorisation de leurs clients, et uniquement selon les conditions convenues par ces derniers.

Le partage des données, et notamment l’accès aux données par des conglomérats non financiers, sera régulé par plusieurs dispositions. Notamment, si un utilisateur de données fait partie d’un groupe plus large, seule l’entité autorisée en tant qu’utilisateur de données pourra accéder et utiliser les données clients.

Schémas de partage de données financières

Les détenteurs et les utilisateurs de données devront adhérer à un ou plusieurs schémas de partage de données financières (FDSS). Ces schémas seront responsables de la gouvernance de l'accès aux données des clients conformément à FIDA et aux autres règles de l'UE applicables - par exemple, la protection des données (RGPD) et la Data Act. Les FDSS devront non seulement élaborer des normes communes pour le partage de données et les interfaces, mais aussi définir les responsabilités contractuelles de ses membres et fournir des mécanismes de résolution efficace des litiges.

Les schémas établiront également le modèle permettant de déterminer la compensation maximale que les détenteurs de données pourront facturer aux utilisateurs. Toutes les parties prenantes ont en effet convenu que le futur modèle économique d’Open Finance doit être durable, juste et équitable. Il n'existe cependant pas a à ce jour pas de consensus sur sa déclinaison pratique, et les débats seront probablement animés.

A ce jour, la Commission Européenne ne confie pas explicitement aux régulateurs ou associations de l’industrie la tâche de créer ces schémas de partage. Elle reconnaît même que certaines catégories de données client pourraient être exclues des FDSS. Ce qui est probable, au moins de façon transitoire, compte tenu du périmètre de données concernées.

Or, nous le savons, l’absence de norme d'interface de programmation d'application (API) et d’authentification forte uniques a constitué un obstacle majeur pour libérer la valeur de DSP2 et créer un véritable écosystème d’Open Banking. Le rôle pro-actif de l’ensemble des acteurs de l’industrie sera ainsi clé pour la réussite d’Open Finance.

Quels impacts pour les banques, assureurs et autres détenteurs de données financières ?

L'ouverture des données financières est maintenant une question de "quand" plutôt que de "si". Cela soulève deux implications stratégiques clés. Tout d'abord, les détenteurs historiques des données, doivent décider du rôle qu'ils souhaitent jouer dans ce nouvel écosystème. Une simple mise en conformité constituerait un risque non négligeable d’attrition si la concurrence, issue de l’industrie financière ou non, et dotée de capacités d'exploration de données sophistiquées, décidait de s’emparer des opportunités et de la relation client. La définition des cas d’usage, le business case mais aussi les moyens à déployer pour acquérir des capacités avancées d'analyse de données, d'IA et d'apprentissage automatique pour proposer des produits et services adaptés et innovants devront être rapidement adressés.

Deuxièmement, les coûts de mise en conformité pour rendre les données disponibles à des tiers et permettre aux clients de gérer en autonomie leurs accès mobilisera seront probablement très élevés et devront être anticipés. Il est nécessaire pour les banques, assureurs, établissements de crédits et gestionnaires de produits d’épargne de réfléchir dès aujourd’hui à leurs trajectoires de mise en œuvre.

Calendrier et conclusion

La publication des propositions de FIDA marque le début des discussions législatives. Selon l'évaluation de la Commission elle-même, les acteurs de l’écosystème ont des opinions significativement divergentes sur la manière dont le partage de données financières devrait être réglementé.

Dans ce contexte le calendrier de mise en œuvre proposé pour FIDA est ambitieux. Il est prévu que les dispositions relatives aux FDSS et aux exigences d'autorisation pour les FSIP s'appliqueront 18 mois après l'entrée en vigueur de FIDA, aujourd’hui attendue au premier semestre 2024. Toutes les autres exigences commenceront à s'appliquer après 24 mois.

Cette approche en "big bang" proposée par la Commission diffère nettement des stratégies d'Open Finance adoptées ou envisagées par d'autres juridictions. Par exemple, l'Autorité de conduite financière du Royaume-Uni (FCA) a déjà confirmé qu'elle privilégierait une mise en œuvre progressive, en commençant par les cas d'usage offrant le meilleur équilibre coût-bénéfice. De même, l'Australie déploie progressivement son droit à la portabilité des données des consommateurs. Une approche plus progressive pourrait être à la fois pragmatique et efficace compte tenu des complexités techniques et des coûts de mise en œuvre significatifs de FIDA. Elle permettrait également de maximiser les chances d’adoption et d’engagement des consommateurs.

Mais quels que soient le rythme et le calendrier finalement retenus et appliqués par le régulateur, l’objectif à terme est bien de créer un écosystème au sein duquel le client reprend le pouvoir de ses données. Pour l’industrie financière, l’enjeu est de taille pour définir un modèle juste mais concurrentiel, porteur d’opportunités de développement. Le risque, déjà observé au déploiement de DSP2, est d’oublier dans la bataille règlementaire les attentes et besoins des clients, et de ne créer aucune valeur additionnelle.

Références

¹ Le Data Act a été approuvé par les institutions européennes le 27 juin 2023
² Les données de paiements restent régies par DSP2, puis DSP3 et RSP1

Nos experts

Ghislain Boulnois

Associé, Conseil Industrie Financière

gboulnois@deloitte.fr

+33 (0) 6 70 49 36 34

Ghislain intervient en conseil auprès des acteurs des services financiers, en particulier sur les sujets de marketing stratégique, de distribution multicanale, de transformation digitale et de lanceme... En savoir plus

Benjamin Brécy

Directeur, Risk Advisory

bbrecy@deloitte.fr

01 40 88 28 00

Benjamin accompagne depuis plus de 12 ans les directions d’audit interne, des risques, du contrôle interne et de la conformité dans la mise en conformité ou dans l’amélioration de la performance de le... En savoir plus

Formulaire de contact

Audit & Assurance

Consulting

Risk Advisory

Financial Advisory

Juridique

Fiscalité

Afrique francophone

Consommation

Energie, Ressources & Produits industriels

Santé & Sciences de la vie

Secteur public

Services financiers

Technologies, Médias & Télécommunications

Consulter nos offres

Echanger avec nos ambassadeurs

Nous rencontrer

Climat et Développement durable