29.09.25
Éclairages juridiques • Droit du numérique, données et conformité

Le règlement FiDA : encadrer l’accès et le partage des données financières en Europe

Contexte et objectif du règlement FiDA

L’« Open finance », prolongeant la logique de l’« Open banking », vise à permettre l’ouverture et le partage des données financières des établissements auprès de prestataires tiers dûment habilités.

Pour mettre en œuvre cette politique, la Commission européenne a présenté, le 28 juin 2023, la proposition de règlement relatif à l’accès aux données financières (Financial Data Access – FiDA).

L’adoption définitive de ce texte est attendue pour la fin de l’année 2025.

FiDA vise à mettre en place un cadre juridique harmonisé permettant aux consommateurs et entreprises de contrôler l’accès à leurs données financières et d’en autoriser le partage avec des tiers de confiance.

L’objectif est de stimuler l’innovation et la concurrence dans le secteur financier en facilitant le développement de nouveaux services fondés sur les données (assurance, investissement, crédits, retraites, etc.), tout en garantissant une utilisation responsable et sécurisée de ces données.

Nous délimiterons dans un premier temps le champ d’application de la proposition actuellement en discussion concernant les données et les acteurs, puis nous examinerons ses dispositions cardinales, puis les points en débats actuellement, avant de préciser les conditions de son entrée en vigueur.

Champ d’application : quelles données et quelles entités sont concernées ?

Les données

D’après l’article 2 de la proposition, le règlement s’appliquerait à un large éventail de données clients : par exemple les données relatives aux crédits (prêts, hypothèques) et comptes (hors comptes de paiement déjà couverts par DSP2), les données d’épargne et d’investissement (instruments financiers, produits d’investissement assurantiels, crypto-actifs, immobilier, etc.), les droits à pension (retraites professionnelles, produits paneuropéens PEPP), les assurances de dommages (telles que l’assurance automobile ou habitation), ainsi que certaines données utilisées pour évaluer la solvabilité des entreprises.

À noter que les données d’assurance santé sont explicitement exclues du champ du règlement FiDA pour des raisons de sensibilité[1].

De plus, les données trop anciennes ou peu pertinentes pourraient être exclues : la Commission a proposé de limiter l’historique des données partagées, par exemple en n’exigeant pas la mise à disposition des transactions de plus de dix ans ni des contrats clôturés - une mesure destinée à réduire la charge pour les acteurs.

Les acteurs

En ce qui concerne les acteurs visés, le champ d’application est très large.

Il convient de distinguer trois catégories d’acteurs :

L’article 2(2) liste tous les types d’institutions financières susceptibles d’être soit « détenteurs »  soit « utilisateurs » de données clients. Sont notamment concernés : les banques et établissements de crédit, les établissements de paiement et de monnaie électronique, les sociétés d’investissement, les prestataires de services sur crypto-actifs, les sociétés de gestion de fonds (OPCVM, FIA), les entreprises d’assurance et de réassurance, les intermédiaires d’assurance, les institutions de retraite professionnelle, les agences de notation de crédit, les plateformes de financement participatif, les fournisseurs de produits de retraite paneuropéens, etc.

Autrement dit, la plupart des acteurs bancaires, assurantiels et financiers détenant des données clients ou souhaitant y accéder seraient soumis à FiDA. Cette liste est très similaire à celle du Règlement DORA.

Un nouveau statut spécifique que pourrait créer cette proposition est celui des prestataires de services d’information financière, qui sont des utilisateurs particuliers. Il s’agit d’un statut d’utilisateur de données agréé (voir infra sur l’agrément) qui pourra, une fois autorisé, accéder aux données clients pour fournir des services d’information financière de façon professionnelle (par exemple, des agrégateurs financiers, outils d’analyse budgétaire, comparateurs, etc.). Ce statut s’apparente à celui des prestataires d’information sur les comptes (AISP) introduits par la DSP2, mais étendu à l’ensemble des données financières couvertes par FiDA.

Certains acteurs semblent exclus du statut de FISP : le débat actuel semble inclure la proposition d’interdire aux Big Tech qualifiés de gatekeepers (au sens du Digital Markets Act) d’obtenir l’agrément FISP, afin de prévenir que des géants technologiques extra-européens n’exploitent massivement les données financières des citoyens de l’UE.

Principales dispositions

Droits, obligations et mécanismes de partage des données

Le règlement FiDA détaille un ensemble d’obligations légales pour les détenteurs de données (les institutions financières qui possèdent les données des clients) et pour les utilisateurs de données (les tiers qui souhaitent accéder à ces données avec l’accord du client).

Aucune donnée ne devrait pouvoir être partagée sans une demande ou permission explicite du client. L’article 5 du projet consacre ainsi le droit pour tout client (particulier ou entreprise) de demander à son détenteur de données de partager ses données avec un prestataire tiers de son choix utilisateur de données.

Ce partage doit respecter le cadre du RGPD pour les données personnelles : la demande du client constitue le consentement ou une base légale valable au sens du RGPD pour permettre le traitement de ses données selon l’article 5 et 6 de la proposition de règlement.

Le client devrait pouvoir à tout moment révoquer son consentement et retirer la permission accordée, le règlement prévoyant la réversibilité de toute autorisation donnée.

Du côté des détenteurs de données (banques, assureurs, etc.), l’obligation générale (article 4) est de mettre à disposition les données couvertes par FiDA « sans délai, de manière continue et en temps réel » dès lors que le client en fait la demande.

Concrètement, cela implique que si un client autorise une fintech à accéder à ses données bancaires ou assurantielles, son établissement devra ouvrir cet accès via une interface technique appropriée.

Seules les données explicitement autorisées pour l’usage convenu peuvent être partagées.

Par ailleurs, l’article 7 du projet permettra aux Autorité (ABE et AEAPP) de rédiger des orientations afin d’éviter que les finalités créent  de la discrimination ou des traitements défavorables au client qui choisirait de ne pas partager ses données.

Les utilisateurs de données (tiers recevant les données, comme un agrégateur ou un assureur tiers) doivent de leur côté respecter des obligations strictes (article 6) : ils ne peuvent accéder qu’aux données nécessaires pour l’usage convenu et doivent les utiliser uniquement aux fins autorisées par le client, dans le respect des conditions acceptées.

Tableaux de bord des permissions

Pour donner aux clients un contrôle effectif, l’article 8 impose aux détenteurs de données de fournir à chaque client un tableau de bord récapitulant les consentements qu’il a accordés et les accès en cours sur ses données.

Via ce tableau de bord, le client pourra vérifier à quels prestataires il a donné accès, quelles catégories de données sont partagées, et révoquer facilement toute permission devenue indésirable. Ce dispositif est jugé utile pour instaurer la confiance et la transparence dans le système d’open finance.

Systèmes de partage de données

La proposition propose de créer des schémas ou systèmes de partage de données réunissant les acteurs du secteur. L’article 9 prévoit que les données ne pourront être partagées qu’au sein de tels schémas agréés, rendant donc l’adhésion à un système de partage obligatoire pour les détenteurs et utilisateurs de données.

Ces schémas incluront les détenteurs de données, les utilisateurs de données et des représentants des consommateurs et des clients (organisations de clients et association de consommateurs).

Ils auront pour mission d’élaborer des normes techniques et contractuelles communes pour l’accès aux données : standards de format et d’API, modalités de fonctionnement des tableaux de bord, règles de gouvernance du schéma, exigences de transparence, règles de responsabilité et de règlement des litiges, etc..

En somme, chaque schéma définira concrètement comment les acteurs coopèrent pour échanger les données de façon sécurisée et efficace.

La proposition de texte prévoit que ces systèmes de partage devront être mis en place dans les 18 mois suivant l’entrée en vigueur du règlement, soit avant même l’application effective de la plupart des obligations (qui, elles, n’interviendraient qu’à 24 mois – voir plus loin).

L’article 10 détaille la gouvernance des schémas et introduit la question de la compensation financière pour l’accès aux données. En effet, un établissement financier pourra réclamer une indemnisation aux prestataires tiers pour les coûts liés à la mise à disposition des données via des interfaces dédiées.

Le principe posé est que le montant doit être « raisonnable » et calculé de façon transparente, reflétant au moins les coûts de mise en place et de fonctionnement des interfaces techniques de partage.

L’objectif de ces compensations ne semble pas être de monnayer les données elles-mêmes, mais de couvrir les frais d’infrastructure engendrés par l’ouverture des systèmes. La proposition de règlement permet aux schémas de partage de fixer une compensation maximale applicable à leurs membres.

Outre la compensation, l’article 10 prévoit également que les schémas établissent des procédures de règlement extrajudiciaire des litiges entre membres, ainsi que des règles de responsabilité contractuelle en cas de faute d’un participant causant un dommage lié au partage de données. L’ensemble de ces mesures vise à créer un environnement de confiance où les acteurs savent à quoi s’en tenir sur le plan juridique et financier lorsqu’ils partagent des données.

Et en cas d’absence d’initiative du marché pour créer un schéma dans un secteur donné, le projet habilite la Commission (article 11) à adopter ultérieurement un acte délégué pour mettre en place un système de partage par défaut. Cela vise à éviter qu’un blocage ou un attentisme de la part des acteurs empêche la réalisation des objectifs d’ouverture des données.

Surveillance et sanctions

Le texte consacre un Titre entier (VI) aux pouvoirs des autorités compétentes et aux sanctions en cas de manquement. Chaque État membre devra désigner une autorité compétente chargée de superviser l’application de FiDA (article 17). Il s’agira sans doute des régulateurs financiers nationaux (ACPR en France par exemple) ou d’une combinaison d’autorités selon les secteurs. Ces autorités disposeront de pouvoirs d’enquête étendus pour contrôler le respect du règlement, et pourront imposer des sanctions administratives substantielles en cas de violation (articles 18 à 21).

Les sanctions envisagées incluent des amendes administratives et des astreintes, dont le niveau devra être « effectif, proportionné et dissuasif » conformément aux pratiques européennes habituelles. Les articles 20-22 décrivent notamment les critères à prendre en compte pour fixer les sanctions et les mesures correctives.

Par ailleurs, le non-respect de FiDA pourra entraîner, pour un prestataire agréé (FISP), le retrait de son agrément par l’autorité compétente (article 14 et article 19). Le texte couvre aussi des dispositions de coordination entre autorités, de secret professionnel et de recours juridictionnel pour les entités concernées (articles 23-27), afin d’assurer une application cohérente à l’échelle de l’UE.

Enjeux et débats autour du projet FiDA

FiDA entend instaurer un cadre d’open finance dépassant la DSP2. S’il semble accepté sur le principe, plusieurs points en demeurent controversés.

  • calendrier : le délai de 24 mois pour son entrée en application à compter de son entrée en vigueur prévu à l’article 36 est jugé trop court au regard des investissements requis (sécurité, standardisation). Les négociations portent sur un phasage progressif (2 à 4 ans selon les données), afin d’éviter un « big bang » risqué pour les acteurs établis sans ralentir l’innovation[2].
  • périmètre : les établissements plaident pour une ouverture graduée, ciblée sur des cas d’usage avérés et limitée à quelques années d’historique, alors que les fintechs redoutent qu’une telle approche ne bride la créativité.
  • champ des bénéficiaires : la Commission propose d’exclure les grandes entreprises (> 50 M€ de CA), afin de concentrer l’effort sur particuliers et PME, principaux bénéficiaires de l’open finance.
  • souveraineté : une exclusion des gatekeepers définis par le DMA vise à éviter une captation des données par les Big Tech, avec vigilance sur les transferts hors UE[3].
  • sécurité et consentement : l’authentification forte, articulée au futur portefeuille d’identité numérique européen (eIDAS 2.0), apparaît indispensable, en cohérence avec le RGPD et DORA.

Ainsi, le débat oppose accélération de l’innovation et nécessité de prudence : les arbitrages à venir détermineront si FiDA devient moteur ou frein de la compétitivité européenne.

État d’avancement législatif et entrée en vigueur prévue

FiDA suit la procédure de codécision entre Parlement et Conseil. Après accord informel, il devra être voté en plénière puis adopté par le Conseil, probablement au 1er semestre 2026. Publié au JOUE, il entrerait en vigueur 20 jours plus tard, avec une application différée : 18 mois pour les schémas de partage, 24 mois pour les autres dispositions. En pratique, les obligations pour banques et assureurs ne s’appliqueraient qu’autour de mi-2028.

Conclusion

En conclusion, l’enjeu pour les professionnels du droit et les acteurs du secteur sera d’anticiper ces changements, d’adapter les pratiques de conformité et les systèmes techniques, et d’accompagner les clients dans l’appropriation de leurs nouveaux droits sur les données. FiDA, bien appliqué, pourrait alors constituer un cadre européen équilibré au service des citoyens, favorisant l’innovation financière tout en préservant la compétitivité et la sécurité juridique du secteur.

Dans l’attente de la publication et de l’entrée en application de FiDA, le département Contrats informatique, données & conformité se tient à votre disposition tant pour vous conseiller et vous assister dans la rédaction de vos contrats, que pour vous accompagner dans tout contentieux relatif à la donnée et à la cybersécurité (NIS 2, REC, RGPD) notamment au sein des entités financières ou des prestataires de services TIC (DORA).

Pour toute question, n’hésitez pas à nous contacter.

[1] Cons. 9.

[2] Voir notamment le document de position de France assureurs : https://www.franceassureurs.fr/wp-content/uploads/fida-note-de-position-16-06-2025-fr-et-en.pdf

[3] Voir : https://blog.axway.com/fr/industries/banque-et-services-financiers/amendements-fida

Powered by  GDPR Cookie Compliance
Résumé de la politique de confidentialité

Ce site utilise des cookies afin que nous puissions vous fournir la meilleure expérience utilisateur possible. Les informations sur les cookies sont stockées dans votre navigateur et remplissent des fonctions telles que vous reconnaître lorsque vous revenez sur notre site Web et aider notre équipe à comprendre les sections du site que vous trouvez les plus intéressantes et utiles.