cadre pour l'accès aux données financières

Ø Proposition de règlement du Parlement européen et du Conseil relatif à un cadre pour l'accès aux données financières et modifiant les règlements (UE) n� 1093/2010, (UE) n� 1094/2010, (UE) n� 1095/2010 et (UE) 2022/2554 - COM(2023) 360 FINAL

I) Une proposition pour favoriser et encadrer le développement de l'open finance

La directive DSP2^1(*) puis le paquet législatif DSP3/RSP1^2(*) actuellement en examen visent à assurer l'ouverture des données bancaires à des prestataires de services agréés et ainsi à favoriser l'open banking. La Commission européenne propose d'étendre ces obligations de partage des données à presque toutes les données des services financiers, pour ainsi développer l'open finance.

La proposition législative pour un nouveau cadre d'accès aux données financières (aussi dénommée FIDA) permettra aux consommateurs et aux entreprises d'autoriser des tiers (les utilisateurs de données) à accéder à leurs données détenues par des institutions financières (les détenteurs de données). Les utilisateurs de données pourront alors, sur la base de ces données, proposer des produits et services personnalisés.

A. Une ouverture de toutes les données financières, à l'exception des produits liés à la santé

Le champ d'application des données concernées comprend les informations relatives aux crédits, aux produits d'épargne et d'investissement, aux crypto-actifs, aux produits retraites collectifs et individuels, et aux produits d'assurance IARD^3(*) et prévoyance. Sont exclues les données susceptibles d'augmenter le risque d'exclusion financière (données d'assurance vie, santé et maladie ; données collectées dans le cadre des évaluations de solvabilité des consommateurs).

Par ailleurs, la Commission demandera à l'autorité bancaire européenne (ABE) et à l'autorité européenne des assurances et des pensions professionnelles (EIPOA) de mettre en place des lignes directrices pour l'utilisation des données financières pour le calcul des scores de crédit, les évaluations de risques et la tarification des produits d'assurance.

B. Une obligation de partage des données, ouvrant droit à une indemnisation pour leurs détenteurs

Les détenteurs de données seront contraints de rendre les données clients disponibles à un utilisateur de données sur demande de leurs clients. Les données en question devront être fournies de manière sécurisée, sans retard injustifié, de manière continue et en temps réel. Les détenteurs de données devront fournir à leurs clients un tableau de bord d'autorisation d'accès aux données financières pour leur permettre de surveiller, renouveler et retirer facilement les autorisations accordées aux utilisateurs de données.

Le partage des données coûte aujourd'hui cher aux institutions financières. Dès lors, pour que les détenteurs de données aient un intérêt à fournir des interfaces de qualité pour la mise à disposition des données, ils doivent pouvoir disposer d'une compensation raisonnable de la part des utilisateurs de données. Cette compensation doit permettre d'assurer une standardisation des interfaces de programmation d'application (API)^4(*).

Le modèle permettant de déterminer le niveau de cette compensation devrait être défini dans le cadre d'un système de partage de données financières (FDSS), qui consiste en un accord collectif contractuel conclu entre détenteurs de données et utilisateurs de données. Les FDSS permettront d'élaborer des normes communes pour le partage de donnés et les interfaces, mais aussi de définir les responsabilités contractuelles de ses membres et de fournir des mécanismes efficaces de résolution des litiges.

C. Des utilisateurs de données devant être agréés et soumis à une supervision par les autorités nationales

L'accès aux données ne sera possible que pour les prestataires de services d'information financière agréés, qui devront demander une autorisation aux autorités nationales compétentes. L'autorité bancaire européenne (ABE) sera chargée d'établir un registre des prestataires de services d'information financière et des FDSS agréés.

Les autorités nationales seront chargées de mener des enquêtes en cas de non-respect des exigences et doivent collaborer avec les autres autorités nationales compétentes dans les cas transfrontaliers. Elles doivent également être en mesure d'imposer des sanctions, notamment des amendes administratives et des sanctions plus sévères en cas d'infractions. Ces sanctions doivent être rendues accessibles au public sur le site web des autorités.

***

La proposition de la Commission repose sur l'article 114 du TFUE, qui habilite les institutions européennes à arrêter les mesures relatives au rapprochement des dispositions législatives pour l'établissement et le fonctionnement du marché intérieur. La réglementation des services financiers est une compétence partagée entre l'Union européenne et ses États membres. La création de règles communes sur le partage de données dans le secteur financier doit contribuer au bon fonctionnement du marché intérieur.

Une intervention à l'échelle de l'Union européenne apparaît nécessaire pour plusieurs raisons :

- d'une part, l'établissement de règles communes est nécessaire pour assurer des conditions de concurrence équitables entre les établissements financiers au sein de l'UE ;

- d'autre part, les établissements financiers exercent un nombre important d'activités transfrontalières. Les données financières d'un client peuvent être détenues par des établissements financiers situés dans différents États membres. En l'absence d'harmonisation, les établissements financiers seraient confrontés à des exigences nationales divergentes, ce qui rendrait ces activités plus coûteuses.

* ¹ Directive (UE) 2015/2366 du Parlement européen et de Conseil du 25 novembre 2015 concernant les services de paiement dans le marché intérieur

* ² Proposition de directive du Parlement européen et du Conseil concernant les services de paiement et les services de monnaie électronique dans le marché intérieur, modifiant la directive 98/26/CE et abrogeant les directives (UE) 2015/2366 et 2009/110/CE et Proposition de règlement du Parlement européen et du Conseil concernant les services de paiement dans le marché intérieur et modifiant le règlement (UE) n°1093/2010. Ces textes ont été examinés lors de la réunion du groupe de travail subsidiarité du 27 septembre 2023.

* ³ Incendies, Accidents et Risques Divers.

* ⁴ L'absence de normes d'API avait constitué un obstacle majeur pour la mise en application effective de la DSP2 qui devait mettre en place un véritable écosystème d'open banking.