Fida : la Commission veut fermer la porte aux Big Tech

Le règlement européen sur l’ouverture des données financières (Fida) continue de faire l’objet de tractations. Une première réunion de trilogue a eu lieu début avril, et une autre devrait se tenir en juin. La Commission européenne a par ailleurs diffusé, le 16 mai, un non paper (document de discussion non officiel) proposant des amendements au texte afin de répondre aux enjeux de simplification priorisés par l’UE.

Exclure les corporates du périmètre

La Commission propose d’abord de réduire le périmètre du texte en excluant les grands corporates – ce qui signifie que les institutions financières devraient bien ouvrir les données des particuliers et des TPE et PME, mais pas celles des grandes entreprises. De quoi réduire drastiquement le coût de déploiement en excluant environ 51 000 entreprises, d’après les estimations de la Commission. Sur le segment de l’investissement, dont la Commission avait estimé initialement un coût de mise en conformité avec Fida de 504 millions d’euros, ce nouveau périmètre permettrait par exemple de diminuer ce budget de 370 millions d’euros, selon l’institution.

“C’est une correction logique puisque l’esprit de la directive est avant tout de redonner la main aux citoyens sur leurs données et d’améliorer la littératie financière des clients particuliers”, commente Martin Gylfe, cofondateur et CEO de la plateforme d’open finance suédoise Insurely. 

Autre proposition de simplification : limiter l’historique des transactions – par exemple, la Commission propose de ne pas inclure les données collectées plus de dix ans auparavant si elles ne sont pas disponibles en ligne et d’exclure les données des contrats terminés. La Commission envisage aussi d’exclure du texte les agences de crédit et les entreprises de réassurance, “puisque les données détenues par ces entités sont moins pertinentes pour les clients particuliers”, et d’augmenter le principe de proportionnalité pour les petits intermédiaires en assurance et caisses de retraite.

Standards européens de données

Selon l’étude d’impact du texte initial, le développement de standards communs devrait représenter le premier centre de coûts de la mise en œuvre de Fida. Afin d’éviter la fragmentation des schemes de données et de favoriser la standardisation, la Commission souhaite donc créer des standards européens par catégorie de données, plutôt que de pousser chaque marché à créer ses propres standards. Les organisations européennes de standardisation seraient alors chargées de les développer pour répondre aux exigences de l’article 5 du texte. “Cette mesure pourrait reposer sur un financement de l’Union”, ajoute la Commission.

“C’est une grande avancée car cela devrait permettre de faciliter le déploiement mais aussi l’utilisation des données par la suite, ainsi que réduire considérablement les coûts du réseau”, se félicite Martin Gylfe. La disposition pourrait cependant faire débat – la France s’inquiète notamment de la prise en compte des spécificités locales des instruments financiers. 

Sur le volet de l’authentification forte, afin d’éviter toute fragmentation, la Commission souhaite pousser l’utilisation du futur portefeuille d’identité numérique de l’Union européenne – qui devrait être déployé dans les États membres d’ici fin 2026. 

Exclure les gatekeepers

Dans sa proposition, la Commission répond aussi à l’une des grandes inquiétudes des détracteurs du texte : l’ouverture des données aux géants du numérique. Elle propose donc d’exclure les “gatekeepers” soumis au Digital Markets Act (Alphabet, Amazon, Apple, ByteDance, Meta et Microsoft) du futur agrément de prestataire de services d’information financière (FISP). Une proposition qui semble faire l’unanimité parmi les parties prenantes des discussions.

Harmonisation avec la DSP3

La Commission propose par ailleurs d’introduire une harmonisation entre Fida, la DSP2, la DSP3 et le PSR (règlement sur les services de paiement) – par exemple, avec un tableau de bord des permissions uniformisé. L’agrément AISP (service d’information sur les comptes, dans le cadre de la DSP2) permettrait notamment d’accéder à une procédure simplifiée pour décrocher l’agrément de FISP, qui sera accordé par les régulateurs locaux selon des normes techniques élaborées par l’ABE. La disposition était réclamée par les fintech agréées DSP2, s’inquiétant de devoir se soumettre une seconde fois aux mêmes exigences.

La France réclame un déploiement par les cas d’usage

La France, qui a un temps milité pour le retrait du texte, a en tout cas assoupli sa position sur le sujet : Bercy se dit désormais favorable à l’avancée des discussions. Mais en appelant – aux côtés d’autres pays comme la Belgique, l’Espagne, la République Tchèque et la Lettonie – à l’amender pour “simplifier son déploiement”.

Concrètement, Bercy et ses pairs appellent de leurs vœux un déploiement du système de partage des données financières (FDSS) “tiré par la demande”, afin de garantir que les investissements devant être consentis par les établissements financiers pour ouvrir leurs données le seront lorsqu’une demande du marché aura été démontrée – évitant ainsi des investissements pour des données ne reposant pas sur des cas d’usage.

Pour déterminer quelles données doivent être rendues accessibles, le Trésor propose de laisser chaque scheme le définir. Une proposition à laquelle Fanny Rodriguez, présidente de l’Afepame (association des établissements de paiement) et COO de Fintecture, se dit ouverte : “nous ne sommes pas opposés par principe à ce que le scheme manager échange sur les cas d’usage, mais il faudrait dans ce cas un médiateur pour pousser les assureurs et banques à ouvrir leurs données – comme l’ACPR a pu le faire pour la DSP2 – car sinon, cela n’avancera pas. Et ensuite, il faut aussi s’assurer de la bonne mise en œuvre, en mettant en place des sanctions en cas de manquements”.

Face à ces inquiétudes, Bercy pousse une approche pragmatique, “attentive aux modalités de discussion et de prise de décision au sein des schemes pour qu’il n’y ait pas de déséquilibre en faveur des détenteurs ou des utilisateurs de données”. Par ailleurs, l’article 11 du texte prévoit une possibilité d’acte délégué de la Commission pour forcer la mise en œuvre d’un scheme en cas de blocage.

Mais la proposition ne convainc pas toutes les parties prenantes, certaines s’inquiétant qu’elle ne donne trop de poids aux détenteurs des données. “Je ne pense pas que cette proposition passera, estime ainsi Martin Gylfe, d’Insurely. Cela reviendrait à laisser les institutions financières, en tant que détentrices des données, décider de quelles données ouvrir ou non alors même qu’elles n’ont aucune envie de le faire, puisque cela favorisera la concurrence à leur encontre. Cela leur donnerait bien trop de pouvoir, et cela n’est pas dans l’intérêt des consommateurs. Je pense que la Commission et le Parlement n’accepteront jamais cette proposition.”

L’Allemagne, soutien de la proposition de la Commission

L’Allemagne, un temps plutôt opposée au texte, a aussi changé son fusil d’épaule. Un non paper daté du 20 mai reprend en grande partie les propositions de la Commission (exclusion des gatekeepers du statut de FISP, exclusion des corporates du périmètre, principe de proportionnalité pour les petits détenteurs de données, alignement avec la DSP3…). Le pays diverge toutefois sur la question de l’historique des données, jugeant la période de dix ans proposée par la Commission trop longue. Le gouvernement allemand propose plutôt une approche graduelle, en commençant par une période plus courte de deux ans par exemple, qui serait allongée progressivement à 5 ans.

Une adoption avant la fin de l’année ?

Le trilogue devrait donc reprendre le 17 juin. Certaines dispositions proposées par la Commission – comme l’exclusion des corporates du périmètre – semblent largement acceptées, mais d’autres éléments feront encore l’objet de tractations.

À la présidence polonaise du Conseil de l’UE, peu favorable au texte, se succédera le 1er juillet la présidence du Danemark. “Le Danemark se voudrait apparemment progressiste sur le sujet et espère obtenir un accord avant la fin de l’année. Cela fera partie de ses sujets prioritaires, d’autant que l’autre texte qui aurait pu occuper la présidence sur le segment financier, la Retail investment strategy [initiative destinée à rendre l’investissement plus accessible aux citoyens européens, également accusée de ne pas répondre aux objectifs de simplification, Ndlr], a été sensiblement affaibli par les lobbys”, rappelle Martin Gylfe.

Le calendrier en négociation

Les dates d’entrée en application devraient aussi faire débat. Le règlement entrera en vigueur vingt jours après sa publication au Journal officiel de l’Union européenne. Puis le texte initial prévoyait une entrée en application 18 mois plus tard pour la mise en place des systèmes de partage de données financières – quand Bercy propose plutôt de l’allonger pour “le rendre applicable dans des conditions sereines et sérieuses” – dans un contexte plus global de report d’application d’obligations, comme celles en matière de CSRD. 

De même, l’Allemagne recommande de repousser de six mois le délai de mise en place et de six mois le délai de déploiement des schemes, laissant donc 24 mois pour le premier et 12 mois pour le second. 

Les fintech, elles, appellent à une mise en œuvre rapide. Dans son position paper sur le règlement, l’association de professionnels France Fintech appelait par exemple à “un horizon de mise en œuvre compris entre 18 et 24 mois au maximum”. “Pour des fintech, qui se concentrent sur des business plans à un ou deux ans, un délai de 24 ou 30 mois leur ferait perdre des accès à des levées de fonds”, ajoute Fanny Rodriguez, présidente de l’Afepame. 

“Les 18 mois de mise en place pourraient par contre être davantage échelonnés, avance de son côté le CEO d’Insurely, avec une entrée en application à 18 mois pour certaines catégories de données, puis un élargissement progressif.”