Le 18 avril 2024, la commission Econ du Parlement européen a voté une première version du règlement pour encadrer l’accès aux données financières, connu sous le nom de FIDA (Financial Data Access).
Cette initiative marque une étape cruciale dans la transition de l’Open Banking vers l’Open Finance au sein de l’Union européenne. En effet, FIDA établit un cadre réglementaire pour le partage des données client dans l’ensemble du secteur financier, dépassant ainsi les seules données des comptes de paiement.
Ce nouveau cadre vise à promouvoir le développement de services et de produits financiers fondés sur les données en permettant aux consommateurs et aux entreprises de mieux contrôler l’accès à leurs données financières.
Pour les acteurs du secteur financier, cette proposition implique des changements significatifs. Les banques, les prestataires de services de paiement (PSP) et autres institutions financières, en tant que détenteurs et/ou utilisateurs des données, devront se conformer à de nouvelles exigences en matière d’accès et de partage de données.
Parmi les apports importants du texte figurent la possibilité pour les détenteurs de données de demander une compensation financière aux utilisateurs de ces données et l’introduction d’un nouveau statut de prestataire de services d’information financière (PSIF).
In fine, les consommateurs devraient bénéficier de produits et services plus personnalisés, tandis que les PME auront accès à des services financiers automatisés et de meilleure qualité, améliorant ainsi leur compétitivité sur le marché.
Le texte sera applicable 24 mois après son entrée en vigueur, à l’exception des dispositions relatives aux systèmes de partage des données financières, qui le seront après 18 mois.
Contexte et objectifs
L’économie des données est cruciale pour le marché intérieur de l’UE. Les technologies numériques fondées sur les données transforment les marchés financiers en créant de nouveaux modèles économiques et produits.
Actuellement, le partage des informations financières est limité aux seuls comptes de paiement, ce qui freine l’innovation et l’offre de produits personnalisés. L’Union européenne envisage de mettre en place un cadre équilibré qui facilite l’utilisation généralisée des données tout en garantissant des normes strictes en matière de protection de la vie privée, de sécurité, de sûreté et d’éthique.
En 2022, la Commission européenne a lancé plusieurs consultations sur l’accès aux données financières et la révision de la DSP2. Celles-ci ont révélé des préoccupations sur le partage des données sans garanties claires, mais ont montré un soutien général pour un cadre réglementaire en la matière.
Par ailleurs, un rapport d’expertise sur la finance ouverte a été soumis à la Commission européenne. Les recommandations des experts et les commentaires des parties prenantes ont été intégrés dans la proposition pour améliorer la confiance des clients et standardiser les pratiques de partage des données.
La proposition FIDA s’appuie sur les bases établies par la directive sur les services de paiement (DSP2). Elle est cohérente avec le RGPD et est conçue pour être compatible avec les évolutions réglementaires récentes ou à venir telles que le règlement DORA (Digital Operational Resilience Act), la DSP3, et la Directive RIS (Stratégies d’investissement de détail).
Champs d’application, cas d’usage et limitations
FIDA couvre une large gamme de données financières, dont les données relatives à l’épargne bancaire, l’épargne financière, aux prêts, aux produits d’assurance non-vie et produits de retraite.
Cette extension permet de créer des cas d’usage variés, tels que l’amélioration des conseils en investissement, la gestion des risques d’assurance et la vue d’ensemble des droits à la retraite.
L’accès à des informations sur la durabilité est également prévu pour encourager les investissements durables.
La proposition FIDA prend en compte les risques associés à certaines catégories de données et de consommateurs. Les données relatives aux assurances maladie et vie, ainsi que celles issues d’une évaluation de la solvabilité d’un consommateur, sont exclues pour minimiser les risques d’exclusion financière et protéger les droits des consommateurs vulnérables.
Obligations des parties prenantes : détenteurs et utilisateurs des données
Les détenteurs de données sont les institutions financières, telles que les banques, qui collectent, conservent et traitent les données financières des consommateurs et des entreprises. Ils doivent fournir ces données aux utilisateurs à la demande de leurs clients, « dans les meilleurs délais, gratuitement, en continu et en temps réel », et en veillant à respecter les exigences de sécurité et de confidentialité établies par le règlement.
Les détenteurs de données doivent mettre à disposition des interfaces de programmation d’application (API) de qualité pour faciliter le partage des données.
Les utilisateurs de données sont les entités qui, avec l’autorisation des consommateurs ou des entreprises, accèdent et utilisent les données financières fournies par les détenteurs de données. Ils doivent être agréés en tant qu’institution financière ou fournisseur de services d’information financière (FSIP) et seront sous la surveillance des autorités nationales compétentes.
Les clients pourront consulter, renouveler et révoquer leurs permissions via un tableau de bord. Les utilisateurs de données doivent informer les détenteurs en temps réel de toute modification des permissions accordées.
Des compensations pourront être accordées aux détenteurs de données afin de couvrir les coûts de mise en place des interfaces nécessaires.
Toutes les parties prenantes devront intégrer un système de partage de données financières (FDSS) afin de développer des standards communs pour le partage de données et les interfaces, définir les responsabilités contractuelles de chacun, et mettre en place des mécanismes efficaces pour la résolution des litiges.
Les petites institutions de retraite et micro entreprises d’assurance sont exemptées des obligations du règlement pour éviter des charges disproportionnées.
Source : eur-lex.europa.eu/legal-content/FR/TXT/PDF/?uri=CONSIL:ST_11220_2023_INIT