Comprendre la réglementation FIDA et son impact sur les entreprises

Alors que les banques, sociétés d’assurances et FinTechs s’adaptent à un monde dominé par l’économie des données, un défi persiste : comment garantir un accès équitable et sécurisé à ces données tout en protégeant les droits des consommateurs ?

C’est dans ce contexte que la commission européenne a proposé un nouveau cadre réglementaire : le FIDA (Financial Data Access) le 28 juin 2023, un projet ayant pour objet de moderniser l’accès aux données financières dans l’Union Européenne. Inspiré de la directive européenne 2015/2366 relative aux services de paiement, appelée communément DSP2 et du concept d’open finance, ce texte vise à renforcer le partage des données financières tout en offrant aux consommateurs un meilleur contrôle sur leurs données.

Qu’est-ce que la réglementation FIDA ? Quels sont ses objectifs ? Comment impacte-t-elle le partage de données financières ? Nous explorons dans cet article les opportunités offertes par ce texte et les défis qui attendent les entreprises détentrices de données.

 

Origines et objectifs de la réglementation FIDA (Financial Data Access)

 

 

Face à l’augmentation des données disponibles et à leur rôle dans l’économie, l’Union européenne souhaite mettre en place un cadre qui facilite l’accès, l’échange et l’utilisation des données financières. La réglementation FIDA s’appuyant sur les avancées de la directive DSP2, vise ainsi à débloquer les obstacles historiques qui freinent ce partage.

Comme l’explique Xavier Lefèvre, notre directeur commercial : « Avec cette nouvelle réglementation, le législateur européen affiche une volonté claire de décloisonner les données personnelles pour les rendre accessibles à tous les acteurs, quel que soit leur détenteur. Cette philosophie, inscrite dès le titre du RGPD — ‘Règlement général sur la protection des données et la libre circulation de ces données’ —, se poursuit avec des textes comme FIDA, qui complète la directive DSP2. L’objectif de FIDA est de faciliter les échanges de données, qu’il s’agisse d’acteurs d’un même secteur ou de créer des zones d’échange intersectorielles, dans le cadre de la stratégie européenne pour les données. »

En répondant à ces problématiques, FIDA ne cherche pas uniquement à réguler, mais également à créer une base solide pour favoriser l’innovation. L’objectif est double : permettre aux consommateurs de mieux contrôler leurs données tout en facilitant pour les entreprises l’émergence de produits et services financiers innovants, adaptés à leurs besoins au niveau européen.

 

Calendrier de mise en œuvre du Financial Data Access

 

 

Le règlement FIDA, proposé par la Commission européenne en juin 2023, est actuellement en cours de discussions entre le Conseil et le Parlement européen et devrait être adopté prochainement.

Une fois adopté, il sera publié officiellement, déclenchant une période de transition de 24 mois. Si les négociations aboutissent comme prévu, FIDA devrait entrer en application début 2027.

 

Comment fonctionne la nouvelle réglementation FIDA

 

Dans sa version initiale, la réglementation FIDA encadre le partage des données financières entre deux acteurs clés :

• Les détenteurs de données : Banques, assureurs, ou autres entités qui collectent et stockent les données des clients (transactions, épargne, etc.). Sous FIDA, ces acteurs devront partager ces données uniquement sur demande explicite du client.
• Les utilisateurs de données : FinTechs ou entreprises utilisant ces informations pour proposer des services financiers personnalisés (gestion budgétaire, offres de crédit).

Le système met au centre le consentement du client qui est réversible à tout moment. Les détenteurs de données sont tenus de :

• Partager les données en temps réel et de manière sécurisée, selon les permissions accordées.
• Fournir un tableau de bord pour permettre aux clients de visualiser et gérer ces permissions.

Pour protéger les consommateurs, les utilisateurs de données doivent être agréés et contrôlés par une autorité compétente. Ils doivent s’enregistrer en tant que prestataires de services d’information financière (PSIF) pour accéder aux données des clients. Par ailleurs, les détenteurs de données peuvent exiger une compensation financière proportionnelle pour fournir cet accès.

Le règlement FIDA apporte ainsi de grands changements techniques et opérationnels qui devront être anticipés par le secteur de la finance.

Comme le souligne Xavier Lefèvre : « Le partage de données dans le secteur financier rencontre trois défis majeurs. Le premier est un défi technique lié à des systèmes informatiques parfois anciens, cloisonnés et non conçus pour l’interopérabilité, ce qui complique l’ouverture et le partage sécurisé des données. Le second est un enjeu de sécurité qui exige de garantir que l’utilisateur des données est bien celui qu’il prétend être tout en construisant un écosystème de confiance autour des données sensibles. Enfin, une difficulté spécifique aux données personnelles réside dans l’implication d’un tiers — la personne concernée —, qui doit être informée et donner son consentement en toute transparence, ajoutant une complexité réglementaire et opérationnelle au processus d’échange. »

 

Quels sont les acteurs concernés par cette réglementation ?

 

Si des modifications sont attendues avant l’adoption définitive, la version préliminaire du règlement FIDA permet d’ores et déjà de distinguer les principales catégories d’acteurs impactés dans le secteur financier et les services connexes.

• Institutions bancaires et monétaires :

1. 1. Établissements de crédit
   2. Établissements de paiement, y compris les prestataires de services d’information sur les comptes et ceux exemptés en vertu de la directive DSP2 (2015/2366)
   3. Établissements de monnaie électronique, y compris ceux exemptés selon la directive 2009/110/CE

• Acteurs des marchés financiers :

1. 1. Entreprises d’investissement
   2. Gestionnaires de fonds d’investissement alternatifs
   3. Sociétés de gestion d’organismes de placement collectif en valeurs mobilières (OPCVM)

• Secteur des assurances et des retraites :

1. 1. Entreprises d’assurance et de réassurance
   2. Intermédiaires d’assurance, y compris à titre accessoire
   3. Institutions de retraite professionnelle
   4. Fournisseurs de produits paneuropéens d’épargne-retraite individuelle (PEPP)

• Prestataires spécialisés :

1. 1. Prestataires de services sur cryptoactifs
   2. Émetteurs de jetons adossés à des actifs
   3. Agences de notation de crédit
   4. Prestataires de services de financement participatif
   5. Prestataires de services d’information sur les comptes (AISPs)

 

Quelles sont les données concernées par le règlement FIDA?

 

L’article 2 du règlement FIDA détaille le périmètre des données concernées, couvrant des informations variées comme les transactions financières, les produits d’épargne, les prêts, ou encore les investissements.

• Crédits, prêts et comptes : Cette catégorie intègre les données relatives aux contrats de crédit hypothécaire, prêts personnels et comptes bancaires (à l’exclusion des comptes de paiement définis par la DSP2). Ces données incluent les informations sur les conditions, les soldes et les transactions.
• Épargne et investissements : Cette catégorie intègre les données liées aux produits d’épargne, instruments financiers, produits d’investissement adossés à l’assurance, cryptoactifs, biens immobiliers, et avantages économiques tirés de ces actifs.
• Droits à pension : Les données relatives aux régimes de retraite professionnels et PEPP.
• Produits d’assurance non-vie : Informations excluant les produits d’assurance santé, mais comprenant les données collectées pour évaluer les besoins des clients.

Sans attendre son adoption définitive, le règlement FIDA introduit déjà de nombreux changements que les entreprises concernées doivent commencer à anticiper pour s’adapter aux nouvelles exigences.

 

Que se passe-t-il en cas de non-respect ?

 

 

La réglementation FIDA confiera aux autorités nationales (dont les détails seront précisés prochainement) la supervision des contrôles de conformité.

Bien que les montants et la durée des sanctions ne soient pas encore finalisés, le texte initial donne un aperçu des conséquences en cas de non-conformité.

Sanctions financières et astreintes

En cas de non-respect de la réglementation FIDA, des amendes financières peuvent être imposées. Pour les entreprises (personnes morales), elles peuvent atteindre jusqu’à 50 000€ par infraction, avec un plafond annuel maximal de 500 000€.

Alternativement, une amende peut être calculée à hauteur de 2% du chiffre d’affaires annuel total si ce montant est plus élevé. Pour les personnes physiques, les amendes peuvent aller jusqu’à 25 000€ par infraction, avec un plafond annuel de 250 000€.

En complément, des astreintes quotidiennes peuvent être imposées pour inciter à une adoption et mise en conformité rapide. Ces astreintes peuvent s’élever jusqu’à 3% du chiffre d’affaires quotidien moyen pour les entreprises ou à 30 000€ par jour pour les personnes physiques.

Suspension ou retrait d’autorisation

Le règlement FIDA prévoit des mesures strictes en cas de violations graves ou répétées, impliquant la suspension ou le retrait de l’autorisation des acteurs non conformes.

• Suspension temporaire de l’agrément :
  Les autorités compétentes peuvent suspendre temporairement l’agrément d’un prestataire de services d’information financière. Cette suspension empêche l’entité de continuer ses activités liées au partage ou à l’accès des données financières pendant la durée fixée par l’autorité.
• Interdiction temporaire pour les dirigeants :
  Si une infraction est constatée, les membres de l’organe de direction ou toute autre personne physique responsable de l’infraction peuvent être interdits d’exercer des fonctions de direction au sein de tout prestataire de services d’information financière.
• Interdiction de longue durée en cas de récidive :
  En cas d’infractions répétées, les sanctions peuvent être renforcées. Les dirigeants ou autres personnes responsables peuvent être interdits d’exercer des fonctions de direction pendant une période d’au moins dix ans.

Un dispositif de contrôle proportionné

La réglementation FIDA prévoit un cadre de sanctions rigoureux, mais il introduit également des mécanismes de proportionnalité pour garantir une application juste et adaptée.

Lorsqu’une infraction est constatée, les autorités compétentes doivent prendre en compte plusieurs éléments avant d’imposer des sanctions : la nature, la gravité et la durée de l’infraction, ainsi que les éventuelles actions correctives mises en œuvre par l’entreprise concernée.

Par ailleurs, les sociétés sanctionnées ont toujours la possibilité de contester les décisions prises. Cette réglementation garantit un droit de recours devant la commission européenne ou une autorité judiciaire ou administrative compétente, offrant ainsi une opportunité de réexaminer les faits ou de rectifier des erreurs potentielles.

 

Comment les entreprises des secteurs bancaire et financier peuvent se mettre en conformité avec FIDA ?

 

Avec l’arrivée de la réglementation FIDA, les entreprises bancaires et financières doivent adapter leurs pratiques pour répondre aux nouvelles obligations liées au partage et à l’utilisation des données financières.

Voici les principales étapes de préparation.

Mettre en place les infrastructures techniques conformes

Les entreprises doivent développer ou mettre à jour leurs applications métiers pour intégrer des interfaces de programmation d’application (API) conformes aux normes prévues par FIDA. Ces API doivent garantir l’interopérabilité, la transparence et la sécurité des données partagées.

L’objectif est de permettre un accès fluide et contrôlé aux données des clients pour les utilisateurs autorisés, tout en évitant toute discrimination dans les échanges de données.

Garantir la mise en oeuvre des tableaux de bord de permissions

FIDA exige que les détenteurs de données mettent en place des tableaux de bord accessibles aux clients. Ces outils doivent permettre aux utilisateurs de gérer leurs permissions d’accès aux données, de révoquer des autorisations et de contrôler comment leurs informations sont partagées.

Respecter les droits des clients et assurer la transparence

Les acteurs soumis à la réglementation FIDA doivent revoir leurs politiques et procédures pour garantir que les droits des clients sont respectés, conformément au règlement.

Cela inclut d’offrir aux clients la possibilité de retirer leur consentement à tout moment, la limitation de l’utilisation des données aux fins spécifiées et la transparence totale sur le traitement des données.

Prévoir des mécanismes de suivi et de conformité

Les entreprises doivent mettre en place un système de contrôle interne pour surveiller l’application du règlement, identifier rapidement les problèmes de non-conformité et y remédier. Cela implique également de désigner des responsables chargés de superviser l’intégration des nouvelles exigences.

 

Préparez-vous à FIDA avec Fair&Smart : la gestion du consentement simplifiée

Avec l’entrée en vigueur du règlement FIDA, les acteurs du secteur bancaire et financier doivent s’adapter à des exigences strictes concernant la gestion des données financières et le consentement des consommateurs. Ces obligations nécessitent la mise en œuvre de solutions robustes capables de répondre aux défis techniques et opérationnels permettant ainsi d’atteindre le niveau de conformité requis.

Prestataire de services de confiance qualifiés eIDAS, LuxTrust accompagne les entreprises dans leur mise en conformité avec des outils techniques adaptés aux spécificités de leur industrie.

La plateforme Fair&Smart Right Consents permet de collecter, gérer et mettre à jour les consentements et préférences des utilisateurs en temps réel. Conforme au RGPD et aux obligations spécifiques du règlement FIDA, elle propose une gestion centralisée et intuitive, renforçant la transparence et la confiance des utilisateurs.

Au-delà de la simple collecte de consentements, la solution couvre également d’autres types d’autorisations, comme l’acceptation de conditions générales d’utilisation ou de service. La plateforme génère des éléments de preuve avec un haut niveau de valeur probante, horodatés et signés, offrant ainsi des garanties solides en cas d’audit ou de contrôle réglementaire.

Contrairement aux approches classiques basées sur des lignes de données modifiables, Fair&Smart fournit des preuves robustes et immuables qui répondent aux attentes des autorités de régulation.

Faites appel à nos experts dès aujourd’hui pour vous accompagner dans la mise en œuvre du règlement FIDA. Optimisez la gestion de vos données clients et transformez vos obligations en opportunités pour vos services financiers.

Vous souhaitez en savoir plus sur Fair&Smart et nos solutions de gestion de données personnelles, cliquez sur le bouton ci-dessous :

Prendre contact !