FIDA, le nouveau cadre pour l’accès aux données financières en Europe

La Commission européenne propose de nouvelles mesures pour moderniser les paiements et le secteur financier en réponse à la croissance des paiements électroniques et l’émergence de nouvelles technologies. Une proposition législative pour un nouveau cadre d'accès aux données financières (FIDA) est également en cours, visant à clarifier la proposition, notamment l'accès en temps réel aux données financières, les droits des clients, le rôle des fournisseurs de services d'information financière (FISP), et les implications sur l'innovation et l'accessibilité pour les consommateurs vulnérables. Ces initiatives, qui incluent la mise à jour de la Directive sur les Services de Paiement (DSP3) et la création d’un nouveau Règlement sur les Services de Paiement (RSP), visent à renforcer la protection des consommateurs, la sécurité et la concurrence en facilitant le partage sécurisé des données financières. L'objectif est de stimuler l’innovation en offrant des produits et services financiers améliorés et plus abordables. Zoom sur ce nouveau cadre règlementaire, les catégories de données et entités concernés ainsi que les grands changements à anticiper.

FIDA ( Financial Data Access) pour répondre aux besoins du marché financier

L'économie des données financières de l'Union européenne est fragmentée, entravée par un partage inégal des données et une réticence à aller au-delà des comptes de paiement. Cela empêche les clients de bénéficier de produits financiers personnalisés qui répondent à leurs besoins spécifiques et limite l'innovation.

FIDA vise à créer un cadre harmonisé pour l'accès aux données financières, répondant aux besoins de l'économie numérique et éliminant les obstacles à un marché intérieur des données.

FIDA introduit le concept de l’Open Finance, inspiré de l’Open Banking, en facilitant le partage, l'accès et la réutilisation des données personnelles et non personnelles pour offrir une gamme étendue de services financiers. Ce partage de données peut promouvoir des produits financiers innovants et plus personnalisés, permettant aux consommateurs de faire des choix éclairés et de comparer les offres facilement. Les clients conservent le contrôle de leurs données, pouvant donner ou retirer leur permission de partage à tout moment.

Ce règlement favorisera le déploiement de formats interopérables pour la portabilité des données entre opérateurs financiers et prestataires de services tiers agréés, y compris dans le domaine de l'assurance en encourageant l'Open Insurance.

Différences entre FIDA, cadre issu de la DSP3, et la DSP2

Au cœur de la stratégie de finance numérique de la Commission Européenne, le cadre d’accès aux données financières a été proposé en juin 2023 en même temps la DSP3. FIDA établit la base législative pour la mise en œuvre de l’Open Finance à l’échelle de l’UE, permettant aux consommateurs et entreprises d’autoriser des tiers à accéder à leurs données détenues par les institutions financières.

Mais le cadre FIDA, introduit des différences clés par rapport à la DSP2. Premièrement, les détenteurs de données pourront demander une compensation financière pour rendre les données accessibles aux utilisateurs de données. Deuxièmement, les utilisateurs de données auront uniquement un accès en lecture des données, sans pouvoir effectuer de transactions pour le compte des clients. Ces éléments influenceront l’adoption et les cas d’usage de l’Open Finance.

Pour régir l’accès aux données, les détenteurs et utilisateurs de données devront adhérer à un ou plusieurs schémas de partage des données financières (FDSS – Financial Data Sharing Schemes). Les règles techniques de ces schémas restent à préciser.

Les régulateurs et l’industrie doivent apprendre des leçons de la DSP2 pour éviter les retards de mise en œuvre, la fragmentation du marché et la complexification du parcours client, surtout compte tenu du large périmètre des données concernées par FIDA.

FIDA : les catégories de données concernées

Le cadre FIDA s’applique aux catégories de données client suivantes :

• Les contrats de crédit hypothécaire, prêts et comptes (sauf les comptes de paiement régulés par la DSP2) incluant les données sur le solde, les conditions et les transactions.
• Divers actifs financiers tels que l’épargne, les investissements dans des instruments financiers, les crypto-actifs.
• Les droits à pension de retraite dans les régimes de pension professionnelle.
• Les produits de pension personnelle paneuropéens.
• Les produits d’assurance non-vie, à l'exception des produits d'assurance maladie et santé.
• Les données de solvabilité des entreprises (y compris les PME) collectées dans le cadre d'un processus de demande de prêt ou d'une demande de notation de crédit.

FIDA établit également des règles concernant l'autorisation et le fonctionnement des fournisseurs de services d'information financière (FISP).

FIDA et les Prestataires de Services d'Information Financière (FISP)

Un Prestataire de Services d'Information Financière (FISP) est un utilisateur de données autorisé à accéder aux données des clients pour fournir des services d'information financière.

La licence FISP, similaire à celle d'un AISP sous la DSP2, requiert la soumission d'un programme d'opérations, d'un plan d'affaires triennal, de descriptions des arrangements de gouvernance et des mécanismes de contrôle interne, y compris des mécanismes de cybersécurité conformes au Digital Operational Resilience Act (DORA).

Contrairement aux AISPs, les FISPs n'ont pas besoin d'être établis dans l'UE, mais doivent désigner un représentant légal dans un État membre de l'UE.

Ce cadre renforce les exigences de conformité et de sécurité pour les FISPs, garantissant une meilleure protection des données des consommateurs et une harmonisation avec les normes de cybersécurité de l'UE.

Les obligations et droits pour les détenteurs de données sous FIDA

🧑‍💼️ Acteurs concernés par le cadre FIDA

Le règlement FIDA s'applique aux entités suivantes lorsqu'elles agissent en tant que détenteurs de données ou utilisateurs de données :

• Établissements de crédit.
• Établissements de paiement.
• Établissements de monnaie électronique.
• Entreprises d'investissement.
• Prestataires de services de crypto-actifs.
• Émetteurs de jetons référencés à des actifs.
• Gestionnaires de fonds d'investissement alternatifs.
• Sociétés de Gestion d'Organismes de Placement Collectif en Valeurs Mobilières (OPCVM).
• Entreprises d'assurance et de réassurance.
• Agents et courtiers en assurance.
• Institutions de retraite professionnelle.
• Agences de notation de crédit.
• Plateformes de crowdfunding.
• Fournisseurs de produits paneuropéens de retraite personnelle.
• Prestataires de Services d'Information Financière (FISP).

FIDA vise à harmoniser l'accès aux données financières en définissant clairement les entités concernées, facilitant ainsi un partage sécurisé et efficace des données.

⚖️ Obligations des détenteurs de données sous FIDA

Les détenteurs de données sont tenus de rendre les données clients disponibles aux utilisateurs de données sur demande des clients, conformément aux exigences du règlement FIDA. Voici les principales obligations :

Accessibilité des données

• Les données doivent être fournies de manière sécurisée.
• Le transfert doit se faire sans retard injustifié, de manière continue et en temps réel.
• Les données doivent être présentées dans un format basé sur des normes généralement reconnues.

Développement des normes

• Les détenteurs et les utilisateurs de données doivent développer conjointement les normes techniques dans le cadre de schémas de partage de données financières (FDSS).
• Un règlement détaillant les standards techniques de communication et d'authentification est attendu prochainement.

Tableau de bord d'autorisation

• Les détenteurs de données doivent fournir à leurs clients un tableau de bord pour gérer les autorisations d'accès aux données financières.
• Ce tableau de bord permet aux clients de surveiller, renouveler et retirer facilement les autorisations accordées aux utilisateurs de données.

Le règlement FIDA impose donc une collaboration étroite entre détenteurs et utilisateurs de données pour assurer un partage sécurisé et standardisé des données financières, tout en offrant aux clients un contrôle total sur l'accès à leurs informations.

💰 Droit à une compensation raisonnable sous FIDA

L'une des différences majeures entre le règlement FIDA et la DSP2 est le droit à une indemnisation pour la mise à disposition des données clients des détenteurs aux utilisateurs de données. Voici les principaux points :

Indemnisation des détenteurs de données

• FIDA introduit le droit pour les détenteurs de données de demander une compensation financière pour rendre les données accessibles aux utilisateurs de données.

Interdépendance avec la Data Act

• Bien que les détails de cette interdépendance ne soient pas entièrement clarifiés, FIDA et la Data Act de l'UE se rencontrent pour établir un cadre de gouvernance pour le partage obligatoire et légal de données.
• La Data Act comprend des règles pour déterminer des niveaux de compensation équitables, prenant en compte les coûts de production des données.

Méthodologie de compensation

• FIDA stipule que la compensation doit être directement liée au coût de mise à disposition des données pour un utilisateur de données.
• Une méthodologie objective, transparente et non discriminatoire doit être utilisée pour déterminer les niveaux de compensation, axée sur les niveaux les plus bas du marché.

En résumé, FIDA renforce la Data Act en garantissant que les détenteurs de données reçoivent une compensation raisonnable pour le partage des données, tout en assurant que cette compensation soit justifiée et alignée avec les coûts réels de production des données.

Les obligations et droits pour les utilisateurs de données sous FIDA

Les utilisateurs de données sous le règlement FIDA devront répondre à des exigences spécifiques pour accéder aux données financières des clients. Voici les points clés :

📝 Autorisation par une autorité nationale

Les utilisateurs de données devront être autorisés par une autorité nationale compétente de l'UE, soit en tant qu'institution financière, soit en tant que Fournisseur de Services d'Information Financière (FSIP).

✅ Accès avec autorisation du client

À l'instar de la DSP2, les utilisateurs de données ne pourront accéder aux données qu'avec l'autorisation explicite de leurs clients et uniquement selon les conditions convenues par ces derniers.

👥 Régulation du partage des données

Le partage des données sera strictement régulé, surtout en ce qui concerne l'accès par des conglomérats non financiers. Si un utilisateur de données fait partie d’un groupe plus large, seule l’entité spécifiquement autorisée en tant qu'utilisateur de données pourra accéder et utiliser les données clients.

En résumé, sous FIDA, les utilisateurs de données devront obtenir une autorisation appropriée et respecter des conditions strictes pour accéder aux données des clients, garantissant ainsi la protection et la confidentialité des données.

Les mesures envisagées pour favoriser l'adoption de FIDA

📝 - La création de schémas de partage de données financières (FDSS) sous FIDA

Sous le règlement FIDA, les détenteurs de données et les utilisateurs de données doivent adhérer à des "Schémas de Partage de Données Financières" (FDSS) dans les 18 mois suivant son entrée en vigueur. Ces schémas sont des accords régissant le partage des données financières, similaires à des modèles comme iDEAL aux Pays-Bas pour les paiements.

Les parties doivent collaborer pour développer des schémas incluant la transparence, les tableaux de bord d'autorisation, la rémunération des détenteurs de données pour la fourniture de données, et la responsabilité. Ils doivent être gérés par des entités représentant une part significative du marché, incluant les organisations de clients et les associations de consommateurs pertinentes.

En l'absence de schéma pour une catégorie spécifique de données, la Commission européenne peut adopter des actes délégués pour standardiser les formats de données, les interfaces techniques, les normes de rémunération et la responsabilité des détenteurs et utilisateurs de données.

✅ - FIDA renforce la gestion des consentements clients

Les FISPs, agissant en tant qu'utilisateurs de données, doivent obtenir explicitement l'autorisation des clients pour accéder et utiliser leurs données. Ils ne peuvent utiliser ces données que selon les conditions convenues avec le client, avec la possibilité pour ce dernier de retirer son autorisation à tout moment.

Les clients seront dotés de tableaux de bord de permission pour gérer en temps réel leurs autorisations et recevoir des alertes sur les risques potentiels. Le détenteur de données doit fournir un aperçu clair de toutes les autorisations en cours et permettre au client de révoquer facilement une autorisation, ce qui cesse immédiatement le partage des données.

Les FISPs doivent supprimer les données une fois qu'elles ne sont plus nécessaires, et contrairement à l'AISP, il n'y a pas d'exigence spécifique de réaffirmation périodique de l'autorisation d'accès. Les enregistrements des autorisations retirées ou expirées doivent être conservés pendant deux ans par le détenteur de données, conformément aux dispositions de FIDA.

🔐 - FIDA renforce la protection des données et la vie privée

FIDA s'aligne explicitement avec le Règlement Général sur la Protection des Données (RGPD), affirmant sa compatibilité et imposant aux détenteurs et utilisateurs de données financières des clients de respecter ses strictes exigences. Cela inclut l'obligation d'établir une base légale claire pour le partage des données personnelles, conformément aux dispositions du RGPD, afin de prévenir toute violation des normes de protection des données.

Malgré ces garanties, le Contrôleur Européen de la Protection des Données (CEPD) a recommandé des clarifications supplémentaires dans FIDA, notamment une distinction plus précise entre la "permission" et le "consentement explicite" tel que défini dans le RGPD.

👤 - Mesures pour limiter le risque d'exclusion financière sous FIDA

Pour prévenir les risques d'exclusion financière liés à l'utilisation des données client sous Open Finance, la Commission Européenne prévoit des mesures spécifiques.

Elle demandera à l'Autorité bancaire européenne (ABE) et à l'Autorité européenne des assurances et des pensions professionnelles (EIOPA) de mettre en place des lignes directrices robustes pour encadrer l'utilisation des données financières régies par FIDA.

Ces directives préciseront les conditions sous lesquelles les utilisateurs de données peuvent utiliser ces informations pour établir des scores de crédit, évaluer les risques et fixer les tarifs des produits d'assurance.

Certaines catégories sensibles, comme les évaluations de solvabilité des individus et les données d'assurance vie, santé et maladie, sont exclues en raison de leur sensibilité et des risques potentiels d'exclusion financière.

Ces mesures visent à protéger les consommateurs contre les pratiques potentiellement discriminatoires et à garantir une utilisation équitable et transparente des données financières dans le cadre d'Open Finance.

En conclusion, FIDA représente une avancée significative dans le secteur financier européen en standardisant le partage des données financières et en intégrant les normes de la banque ouverte déjà établies. Cependant, son impact dépasse la simple conformité réglementaire : il influence la protection des données personnelles selon le RGPD et impose des exigences de résilience opérationnelle sous DORA pour les Fournisseurs d'Infrastructures de Services de Paiement (FISP).

L'Open Finance promue par FIDA doit créer un cadre juste et concurrentiel, favorisant le développement de nouvelles solutions pour les consommateurs. Cependant, l'expérience avec la DSP2 souligne l'importance cruciale de répondre aux attentes des clients et de générer une réelle valeur ajoutée, au-delà des aspects réglementaires et techniques.

À ce stade précoce de son développement, FIDA est encore sujet à des ajustements et à des négociations législatives, avec un calendrier ambitieux pour une mise en œuvre complète. Quel que soit le calendrier final retenu, l'objectif ultime est de créer un environnement où les consommateurs ont un contrôle accru sur leurs données financières. Prenez de l'avance sur la règlementation et étudiez dès maintenant les bénéfices de l'Open Finance pour votre secteur.