FIDA (Financial Data Access) : Comment rester conforme ?

C'est quoi FIDA ?

La Commission Européenne a présenté le 28 juin 2023 le Financial Data Access (FIDA), un nouveau cadre réglementaire transformant l'accès aux données financières en Europe. Cette réglementation étend significativement le périmètre de la DSP2 en imposant le partage des données au-delà des seuls services de paiement.

Le FIDA couvre désormais un large spectre de données financières : produits d'épargne, contrats d'assurance, investissements et crypto-actifs. Cette extension du périmètre s'accompagne d'obligations précises pour les institutions financières, notamment en matière de mise à disposition des données et de compensation financière.

Cette initiative s'inscrit dans la stratégie de finance numérique de l'Union Européenne, en coordination avec le Data Act. Pour les établissements financiers, elle représente à la fois un enjeu majeur de conformité et une opportunité stratégique de développement dans l'écosystème de l'Open Finance.

‍

Qui est concerné par FIDA ?

Le Financial Data Access (FIDA) est un règlement qui étend les obligations de partage des données financières en Europe, allant bien au-delà du cadre actuel de la DSP2.

Son champ d'application s’étend au :

Produits d'épargne
Contrats d'assurance
Investissements
Crypto-actifs

‍

FIDA s'inscrit dans la stratégie européenne de finance numérique aux côtés du Data Act. Il vise à renforcer l'innovation et la concurrence dans le secteur financier tout en garantissant la protection des consommateurs.

‍

Entités concernées et spécificités

‍

Établissements financiers traditionnels :

Banques : ensemble des données de compte et transactions
Assurances : données des contrats et sinistres
Sociétés d'investissement : positions et historique des portefeuille

‍

Nouveaux acteurs :

Fintechs : intégration des APIs obligatoire
Plateformes de crypto-actifs : reporting spécifique
Prestataires de services de paiement : accès temps réel

‍

Quelles sont les obligations de FIDA ?

‍

Les clients doivent pouvoir accéder à toutes leurs données personnelles détenues par les institutions financières :

Cela inclut les informations qu'ils ont fournies (coordonnées, revenus, situation familiale...)
Également les données générées lors de leurs interactions (historique des transactions, communications...)
Ainsi que les détails de leurs contrats et produits financiers souscrits

‍

Les clients peuvent autoriser des tiers à accéder à leurs données financières :

Cela concerne la plupart des produits financiers : comptes bancaires, assurances, investissements, cryptomonnaies
Seules les données de santé et d'évaluation de crédit sont exclues pour éviter les discriminations

‍

Un tableau de bord doit permettre aux clients de gérer leurs autorisations :

Ils peuvent choisir exactement quelles données partager avec chaque tiers
Les accès peuvent être révoqués à tout moment

‍

Système de partage sécurisé :

Les institutions financières doivent utiliser des interfaces techniques standardisées (APIs)
L'authentification forte est obligatoire, comme pour les paiements en ligne (voir DSP2/DSP3)
Les données sont chiffrées lors des transferts
Les spécifications techniques seront publiques pour permettre l'interopérabilité

‍

Surveillance des accès :

Tous les accès aux données sont surveillés en temps réel
Chaque consultation ou transfert est enregistré
Des alertes sont générées en cas d'activité suspecte (accès multiples, volumes anormaux)

‍

Obligations de reporting :

Les institutions doivent régulièrement rapporter aux autorités (ABE, EIOPA)
Tous les incidents de sécurité doivent être documentés
Un registre des tiers autorisés doit être maintenu à jour
Des statistiques d'utilisation doivent être produites régulièrement

‍

Le non-respect de ces obligations expose les entités concernées à des sanctions significatives.

Sans exhaustivité, on retrouve :

‍

Des sanctions financières :

Maximum 5% du chiffre d'affaires annuel mondial pour les infractions graves
Minimum 500 000 euros d'amende

‍

Des sanctions opérationnelles :

Suspension ou arrêt forcé des activités
Retrait de l'agrément FDSS
Interdiction d'exercer

‍

Les Financial Data Sharing Schemes (FDSS) sont des cadres contractuels obligatoires introduits par FIDA pour régir le partage des données financières. Ces schémas réunissent détenteurs de données, utilisateurs et organisations de consommateurs, et définissent les règles communes de transparence, de gestion des autorisations, de rémunération et de responsabilité. Chaque acteur financier doit adhérer à au moins un FDSS dans les 18 mois suivant l'entrée en vigueur de FIDA.

‍

Des sanctions réputationnelles

Publication obligatoire des sanctions (name & shame)
Mise sous surveillance renforcée

‍

Comment rester conforme avec la réglementation FIDA ?

‍

Créer un espace de contrôle client

Développer une interface permettant aux clients de suivre et gérer leurs autorisations de partage de données
Mettre en place des options simples pour activer/désactiver le partage d'informations

‍

Optimiser la protection des données

Établir des mesures de sécurité robustes : comme le chiffrage et l'authentification forte
Utiliser les données uniquement selon les conditions acceptées par le client
Mettre en place des processus de suppression des données devenues inutiles

‍

Prochaines étapes de la mise en place de FIDA

Vote en plénière au Parlement européen pour confirmer le mandat
Négociations en trilogue prévues pour le premier trimestre 2025
Début de la mise en œuvre au troisième trimestre 2025

‍

Les entreprises financières doivent commencer à se préparer dès maintenant, car l'adaptation au FIDA pourrait entraîner des coûts importants et nécessiter des changements significatifs dans leurs systèmes et processus.

ShareID sécurise le partage de données financières exigé par FIDA grâce à son authentification forte MFA 3.0 et sa technologie Zero Knowledge Proof. Nos solutions ne stockent aucune données et dispose d'une technologie propriétaire de chiffrage avancé av, la solution permet un contrôle précis des accès tout en garantissant la conformité réglementaire.