Espace Banque & Droit

Le secteur bancaire et financier face
au numérique : panorama rétrospectif
de cinq années de régulation

Créé le

03.02.2025

Mis à jour le

11.02.2025

En 2019, le numérique représentait l’un des six piliers de la candidature d’Ursula von der Leyen¹
en vue de sa première présidence de la Commission européenne (la Commission). À l’heure d’un second mandat débuté en juillet dernier, il convient
de dresser une synthèse de l’activité réglementaire de l’Union européenne (l’UE) sur le sujet, en
s’intéressant aux textes principaux impactant
le secteur bancaire et financier.

Le secteur bancaire et financier face au numérique : panorama rétrospectif de cinq années de régulation

Alexandre Humain-Lescop

Chercheur Université Institut Polytechnique de Paris (IP Paris)

La « stratégie en matière de finance numérique pour l’UE »² publiée par la Commission en 2020 a engendré des initiatives « sectorielles », visant directement le secteur bancaire et financier. D’autres mesures, dites « horizontales », sont applicables à tous les secteurs d’activité, y compris le secteur bancaire et financier. La majorité des propositions horizontales évoquées dans la suite de cet article découle de la stratégie « façonner l’avenir numérique de l’Europe »³ publiée par la Commission en 2020, combinée avec la publication concomitante du livre blanc « intelligence artificielle, une approche européenne axée sur l’excellence et la confiance »⁴ et de la « stratégie européenne pour les données »⁵. Certaines branches du numérique sont alors traitées par plusieurs réglementations distinctes. Cet article se structure ainsi en quatre thématiques respectivement couvertes par plusieurs textes horizontaux et/ou sectoriels.

Cybersécurité

Le même jour que la stratégie finance numérique précitée a été proposé le règlement DORA (Digital Operational Resilience Act – règlement sur la résilience opérationnelle numérique du secteur financier)⁶. Adopté en 2022, le texte se saisit du risque cyber que représentent les nombreux prestataires tiers de services de technologies de l’information et de la communication (TIC) sur lesquels le secteur bancaire et financier se repose. DORA impose un cadre de gestion des risques liés à ces TIC et des obligations pour ceux représentant un risque critique. Applicable dès janvier 2025, DORA est une lex specialis de la directive NIS 2 (Network and Information Systems Directive – directive concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union)⁷ adoptée le même jour. Les mesures issues de NIS 2 ou d’autres récents textes de l’UE en matière de cybersécurité, mais non couvertes par DORA seront toutefois applicables au secteur bancaire et financier.

Blockchain⁸

Le même jour que DORA ont été proposés deux autres textes que sont le règlement régime pilote DLT (Distributed Ledger Technology – règlement sur un régime pilote pour les infrastructures de marché reposant sur la technologie des registres distribués)⁹ adopté en 2022 et le règlement MiCA (Markets in Crypto-Assets – règlement sur les marchés de crypto-actifs)¹⁰ adopté en 2023. Le régime pilote fixe les conditions d’exploitation et de surveillance des infrastructures de marché DLT pour la négociation d’instruments financiers traditionnels, alors considérés comme « tokenisés ». Ce cadre expérimental de trois ans renouvelables une fois est applicable depuis mars 2023¹¹. Le règlement MiCA concerne les crypto-actifs, s’appuyant également sur une DLT ou une technologie similaire, mais ne relevant pas des actifs financiers classiques. MiCA prévoit ainsi des règles encadrant les émetteurs et les prestataires liés à ces crypto-actifs, dont la majorité est applicable depuis décembre dernier¹².

Un autre projet de l’UE est celui du projet d’un « euro numérique », qui pourrait également reposer sur une DLT. La proposition de règlement « établissant l’euro numérique »¹³ de juin 2023 envisage cet euro pour les échanges interbancaires mais également pour les personnes physiques et morales dans leurs dépenses quotidiennes. L’architecture de distribution ainsi que les usages exacts de cet euro numérique pourraient néanmoins évoluer pendant le processus de vote du texte.

Données

De nombreux textes ont été proposés en déclinaison des stratégies numérique de l’Europe et sur les données précitées. Le DGA (Data Governance Act – règlement sur la gouvernance des données)¹⁴ et le DMA (Digital Markets Act – règlement sur les marchés numériques)¹⁵ votés en 2022 ainsi que le Data Act (règlement sur les données)¹⁶ adopté en 2023 en sont des exemples. Ces textes d’application directe¹⁷ concernent des situations spécifiques de partage de données, dont certaines pourraient intéresser le secteur bancaire et financier, comme l’accès à certaines données : du secteur public¹⁸, produites par des objets connectés¹⁹ ou détenues par des contrôleurs d’accès²⁰, mais également en matière de changement de services de traitement de données tel qu’un fournisseur de cloud²¹. Un autre texte horizontal trouve une application encore plus directe au secteur bancaire et financier. Le règlement eIDAS 2.0 (Electronic IDentification, Authentication, and trust Services – règlement concernant l’établissement du cadre européen relatif à une identité numérique)²² adopté en avril dernier, pose les bases d’un « portefeuille européen d’identité numérique », permettant aux citoyens de s’identifier à des services publics ou privés, et de partager les informations de leur choix à ces services. Les institutions bancaires et financières devront accepter ce portefeuille pour valider les opérations nécessitant une authentification forte du client (SCA) et pourront, si elles le souhaitent, l’intégrer à leur processus de vérification d’identité lors d’une entrée en relation à distance²³. Il est prévu que chaque État membre mette en place ces portefeuilles pour 2026.

Trois éléments sectoriels, issus de la stratégie finance numérique précitée, traitent également de données. Le premier est le règlement ESAP (European Single Access Point – règlement établissant un point d’accès unique européen)²⁴ adopté en 2023 afin de faciliter l’accessibilité en temps réel à toutes les informations publiées par les sociétés. Une plateforme centralisant l’accès à ces informations devrait être accessible au plus tard en juillet 2027. Le deuxième élément consiste en la publication en 2021 d’une autre stratégie, « en matière de données de surveillance dans les services financiers de l’UE »²⁵, visant à moderniser la déclaration des informations prudentielles et le partage de ces dernières entre les autorités compétentes. Bien que listant de premiers éléments ayant été menés pour réaliser à bien cette stratégie, la Commission reconnaît dans un rapport d’avancement de 2024 qu’un « travail important reste encore à faire et [que] la mise en œuvre devrait prendre encore plusieurs années »²⁶. Le troisième élément s’inscrit dans la continuité de la DSP2 (directive révisée sur les services de paiement)²⁷ de 2015, imposant l’ open banking aux banques, soit le partage des données de paiement de leurs clients qui le souhaitent à des entités tierces. En 2023, la Commission a proposé de mettre la DSP2 à jour, en la remplaçant par une DSP3²⁸ et un RSP (règlement sur les services de paiement)²⁹ qui ne modifieraient pas substantiellement le régime juridique du partage de données de paiement. La Commission a toutefois également proposé un règlement FIDA (Financial Data Access – règlement relatif à un cadre pour l’accès aux données financières)³⁰ ambitionnant d’imposer l’ open finance, soit le partage d’autres données financières des clients qui le souhaitent à des entités tierces, telles que des données d’investissement, de crédit, d’assurance, etc. Les modalités exactes de partage sont aujourd’hui encore l’objet de négociations dans le processus de vote de ce texte.

Intelligence artificielle (IA)

Le RIA (AI Act, règlement sur l’intelligence artificielle)³¹ est certainement le texte ayant fait le plus de bruit l’été dernier, lors de son adoption. Le règlement encadre le développement, la mise sur le marché, la mise en service et l’utilisation de systèmes d’IA. Le RIA se fonde sur une approche par les risques en interdisant certains usages de l’IA. Il prévoit d’autres niveaux de risque auxquels il attribue des régimes juridiques. Des exigences renforcées sont par exemple prévues pour les usages dits « à haut risques », à l’instar de la pratique de scoring bancaire automatisé. Il ne s’agit pas du seul lien entre le secteur bancaire et financier et l’IA comme en témoigne la consultation de la Commission de l’été dernier, visant à « évaluer l’évolution du marché et les risques liés à l’IA ainsi qu’à mettre en œuvre le RIA dans le secteur financier »³². L’application du règlement sera d’autant plus complexe qu’elle s’étendra sur plusieurs années, avec comme dates clés février 2025 pour l’application de l’interdiction de certains usages puis août 2025 et août 2026 pour l’application de la majorité des autres mesures.

Synthèse et conclusion

La majorité des textes régulant le numérique proposés sous la première Commission von der Leyen est à ce jour adoptée. L’actuelle phase d’application sera progressive, mais dense, en ce qu’elle implique le plus souvent de nombreux actes délégués ou d’implémentation. Des préoccupations émergent alors quant à l’interaction exacte de toutes les normes horizontales ou sectorielles existant aujourd’hui en matière de numérique³³. Consciente de ces enjeux, la Commission s’est notamment engagée, en ce qui concerne le partage de données, à proposer une nouvelle stratégie « pour une Union européenne des données », visant à « garantir un cadre juridique simplifié, clair et cohérent »³⁴. Le défi est donc de taille, mais le second mandat d’Ursula von der Leyen sera-t-il suffisant pour parfaitement appliquer et préciser le cadre réglementaire sur le numérique établi ces cinq dernières années ? n

À retrouver dans la revue

Chronologie de l’activité réglementaire en matière de numérique ces cinq dernières années

Notes :
¹ U. Leyen, « Une Union plus ambitieuse : mon programme pour l’Europe : orientations politiques pour la prochaine Commission européenne 2019-2024 », 16 juill. 2019
^{2 COM/2020/591, 24 sept. 2020.}
³ COM/2020/67, 19 fév. 2020.
⁴ COM/2020/65, 19 fév. 2020.
⁵ COM/2020/66,19 fév. 2020.
⁶ Règ.(UE)2022/2554 du 14 déc. 2022.
⁷ Dir.(UE)2022/2555 du 14 déc. 2022.
⁸ Ou chaîne de blocs en français, soit l’une des catégories de DLT, dont cette section fait en réalité plus largement l’objet.
⁹ Règ.(UE)2022/858 du 30 mai 2022.
¹⁰ Règ.(UE)2023/1114 du 31 mai 2023.
¹¹ Ayant nécessité l’adaptation du droit français via l’art. 7 de la loi DDADUE (LOI n° 2023-171 du 9 mars 2023 portant diverses dispositions d’adaptation au droit de l’UE).
¹² Ayant nécessité l’adaptation du droit français via l’ordonnance n° 2024-936 du 15 octobre 2024 relative aux marchés de crypto-actifs.
¹³ COM/2023/369, 28 juin 2023.
¹⁴ Règ.(UE)2022/868 du 30 mai 2022.
¹⁵ Règ.(UE)2022/1925 du 14 sept. 2022.
¹⁶ Règ.(UE)2023/2854 du 13 déc. 2023.
¹⁷ Ayant nécessité l’adaptation du droit français via loi SREN (LOI n° 2024-449 du 21 mai 2024 visant à sécuriser et à réguler l’espace numérique).
¹⁸ DGA, chap. II.
¹⁹ Data Act, chap. II et III.
²⁰ DMA, art. 6.9 et 6.10.
²¹ Data Act, chap. VI.
²² Règ.(UE)2024/1183 du 11 avril 2024.
²³ Tout en respectant leurs obligations LCB/FT, matière ayant également connu une forte actualité réglementaire sous la période étudiée.
²⁴ Règ.(UE)2023/2859 du 13 déc. 2023.
²⁵ COM/2021/798,15 déc. 2021.
²⁶ Commission européenne, « Progress report on the strategy on supervisory data in EU financial services », SWD(2024) 45, 28 févr. 2024, p. 22.
²⁷ Dir.(UE)2015/2366 du 25 nov. 2015.
²⁸ COM/2023/366, 28 juin 2023.
²⁹ COM/2023/367, 28 juin 2023.
³⁰ COM/2023/360, 28 juin 2023.
³¹ Règ.(UE)2024/1689 du 13 juin 2024.
³² Commission européenne, « Targeted consultation on artificial intelligence in the financial sector », du 18 juin au 13 sep. 2024.
³³ Conseil de l’UE, « The Future of EU Digital Policy – Council Conclusions » 9957/24, 21 mai 2024, § 6.
³⁴ U. Leyen, « Le choix de l’Europe – Orientations politiques pour la prochaine Commission européenne 2024-2029 », 18 juil. 2024, p. 13.