Publié le FIDA : une révision stratégique s’impose
Le contexte géopolitique nécessite une réorientation des priorités européennes, pour un partage des données financières et d’assurance plus compétitif, sécurisé et centré sur le client.
France Assureurs appelle les colégislateurs à renforcer le règlement FIDA autour de trois priorités:
- Garantir la compétitivité, à travers un déploiement progressif ; une sécurité juridique accrue pour les data holders et une limitation de la profondeur d’historique des données ;
- Préserver la souveraineté européenne, en consolidant les garde-fous face aux risques posés par des géants financiers ou technologiques non-européens ;
- Mettre les clients au centre des préoccupations, en partant de leurs besoins avérés et en prévoyant un encadrement strict des conditions d’accès et de traitement des données financières et d’assurance par les entités éligibles.
France Assureurs continue d’exprimer ses préoccupations à l’égard du projet de règlement sur l’accès aux données financières (FIDA). Le texte soulève en effet des risques majeurs pour les consommateurs, la souveraineté numérique de l’Europe ainsi que pour la compétitivité des entreprises financières et d’assurance européennes alors même que l’on attend – à juste titre – de ces mêmes acteurs qu’ils jouent un rôle de premier plan dans les quatre grandes transitions : numérique, démographique, climatique et géostratégique. Le projet FIDA peine par ailleurs à s’inscrire dans une logique de validation par le marché centrée sur des besoins avérés des consommateurs, condition indispensable pour emporter l’adhésion de l’ensemble des parties prenantes, et à prendre en compte les impacts opérationnels et financiers significatifs de la mise en place de ce partage pour les détenteurs de données. Il nous semble par ailleurs prioritaire d’orienter les investissements du secteur assurantiel vers le renforcement de la cyber-résilience et de la robustesse opérationnelle, en mobilisant notamment les outils européens existants, tels que le volet numérique (CEF-Digital) du programme CEF (qui vise à soutenir les investissements dans les infrastructures de connectivité numérique) ou le programme Horizon Europe.
France Assureurs prend acte de la publication récente de plusieurs non-papers relatifs à FIDA, examinés dans le cadre des travaux du Conseil, en amont de la poursuite des trilogues. Ces contributions témoignent d’une volonté collective d’avancer vers un cadre plus structuré de partage des données financières en Europe. Si ces documents marquent des progrès notables sur certains aspects, ils demeurent toutefois insuffisants au regard des enjeux majeurs de compétitivité, de souveraineté et de protection du consommateur auxquels l’Union européenne est confrontée.
1. Soutien aux mesures en matière de simplification et de compétitivité
France Assureurs accueille favorablement plusieurs des propositions formulées dans le non-paper allemand, notamment :
- L’allongement des délais de déploiement, par rapport aux propositions faites par le Conseil de l’UE, avec un calendrier prenant en compte de manière plus réaliste les différentes phases prévues par le texte (constitution des FDSS, standardisation, mise à niveau des systèmes d’information…), car les expériences étrangères (cf. Brésil) démontrent l’ampleur des chantiers à mettre en œuvre.
- La clarification de la notion de données brutes, qui devrait être intégrée directement dans le corps des articles du règlement et non se limiter aux seuls considérants, ainsi que par parallélisme, la clarification de la notion de données client, qui est actuellement large et contradictoire avec une restriction aux données brutes, pour une sécurité juridique accrue.
- La limitation de la profondeur historique des données accessibles, suggérée entre deux et cinq ans, permettrait de concilier l’ouverture des données avec le respect des principes de proportionnalité et des contraintes opérationnelles. Il nous semblerait néanmoins préférable de laisser le soin aux FDSS de déterminer la profondeur d’historique des données.
Ces orientations méritent à notre sens d’être soutenues et consolidées lors des prochains échanges entre colégislateurs mais doivent être complétées par d’autres mesures.
2. Intégrer pleinement les impératifs de souveraineté européenne
Dans un environnement géopolitique incertain, les risques pesant sur la sécurité juridique des transferts de données transatlantiques, ainsi que sur l’équité concurrentielle entre acteurs européens et non-européens, se renforcent. Si ces préoccupations ne sont pas nouvelles, l’ampleur croissante d’approches unilatérales adoptées hors d’Europe confère à la souveraineté numérique une importance accrue.
France Assureurs soutient fermement la proposition du non-paper allemand visant à exclure explicitement les gatekeepers et leurs filiales du champ d’application du règlement, les empêchant ainsi d’obtenir le statut de FISP (Financial Information Service Provider) et de data user au sens de FIDA. Si l’on a considéré comme légitime, dans le cadre du Data Act, de restreindre l’accès des gatekeepers (tels que définis dans le Digital Markets Act) aux données d’objets connectés, il est tout à fait légitime de restreindre également leur accès aux données financières et d’assurance des citoyens européens, afin d’éviter de renforcer encore leur situation dominante en matière de données.
Nous recommandons par ailleurs l’ajout de deux dispositions complémentaires au texte :
o Transferts de données vers des pays tiers : « Entre chaque phase successive d’ouverture de l’accès aux données financières et d’assurance prévue dans le cadre de FIDA, la Commission européenne, après consultation de l’European Data Protection Board, devra attester de la validité juridique et de la sécurité effective des mécanismes de transfert de données vers des pays tiers ou proposer temporairement des mesures de protection à titre conservatoire. ».
Cet ajout vise à garantir que les données des citoyens européens ne soient transférées que vers des juridictions assurant un niveau de protection adéquat, conformément aux principes fondamentaux du RGPD. Elle renforce la cohérence du dispositif FIDA avec les engagements de l’Union en matière de souveraineté numérique et de protection des données personnelles.
o Transparence sur les bénéficiaires effectifs (ultimate beneficial owner ou UBO) : « Les autorités nationales compétentes peuvent refuser ou suspendre l’agrément FISP ou data user au sens de FIDA de toute entité ne respectant pas les obligations en matière d’identification de ses bénéficiaires effectifs »
Cette disposition vise à garantir que seuls des opérateurs transparents, responsables et alignés sur les normes européennes puissent intervenir dans le cadre de l’accès aux données financières et d’assurance et que des acteurs ne puissent pas utiliser l’opacité sur leurs bénéficiaires effectifs pour contourner des dispositions législatives et règlementaires européennes.
3. Mettre le client au cœur des préoccupations
3.1 Validation par le marché de besoins avérés des clients, avec un mécanisme d’arbitrage pour prévenir d’éventuels blocages
France Assureurs soutient une approche « customer-centric », fondée sur la demande, telle que proposée par le non-paper soutenu par France, Espagne, Belgique, Lettonie, Tchéquie et Italie. Il apparaît en effet indispensable de hiérarchiser les efforts d’investissement exigés des data holders, en les concentrant sur des cas d’usage identifiés et pertinents pour les clients.
Ouvrir massivement l’ensemble des données, sans priorisation ni justification économique ne semble ni soutenable, ni cohérent avec les objectifs d’efficience et de compétitivité. Cette approche devrait être évitée, au profit d’une démarche graduée, reposant sur des besoins avérés des clients, pouvant notamment être exprimés par certains data users.
À cet effet, il sera nécessaire que les FDSS se dotent d’une gouvernance permettant, par négociation entre data holders et data users, une priorisation des cas d’usage et datasets correspondants. En cas de divergence de vue persistante entre les membres du FDSS, ne permettant pas de prise de décision dans un délai inférieur à 60 jours ouvrés, France Assureurs préconise dans ce cas de figure le déclenchement d’un mécanisme d’arbitrage ou de recours à une médiation externe, prévu par la gouvernance du FDSS.
3.2 Garantir un consentement effectif du client final à l’aide d’infrastructures numériques robustes
Il est essentiel de préserver le principe, retenu par le Parlement européen et soutenu au Conseil, selon lequel le data holder doit pouvoir vérifier, avant tout transfert de données, que le client est bien à l’origine de la demande de partage.
Cette disposition est cruciale pour prévenir les risques de transferts de données non intentionnels, qui pourraient générer des préjudices irréversibles pour les individus concernés. Elle participe directement au respect du droit à l’autodétermination informationnelle, au cœur du modèle européen de protection des données.
Enfin, la mise en œuvre de FIDA doit reposer sur une infrastructure d’identité numérique robuste, interopérable et vérifiable à l’échelle européenne. À cet égard, la Commission européenne propose à juste titre le recours à eIDAS 2.0. En effet, en l’absence de ce texte, les conditions techniques et juridiques de gestion de l’identification, de l’authentification et du consentement ne seront pas pleinement réunies ou efficientes. L’entrée en vigueur en novembre 2027 des obligations nouvelles prévues au titre de eIDAS 2.0 devrait donc constituer une condition préalable à l’entrée en vigueur des dispositions au titre de FIDA.
Conclusion
FIDA pourrait constituer un cadre européen équilibré au service de ses citoyens, et favorisant l’innovation tout en préservant la compétitivité du secteur financier et assurantiel, à la condition que ces priorités soient pleinement prises en compte. A défaut, la mise en pause du processus législatif et un retrait du texte devront être à nouveau envisagés.
Nous rappelons enfin que les préconisations déjà formulées antérieurement par France Assureurs auprès des colégislateurs demeurent d’actualité, même si elle n’ont pas été reprises dans cet article.
En savoir plus
Note de position EN et FR – (PDF)
