Espace Banque & Droit

Les données à l’heure des propositions DSP3/RSP et FIDA1

Créé le

02.10.2023

Souhaitant renforcer l’open banking de la DSP2 (partage de données de paiement des clients) et amorcer l’open finance (partage de données financières supplémentaires), la Commission européenne a publié ce 28 juin trois propositions de textes distinguant deux régimes de partage ambitieux.

Les données à l’heure des propositions DSP3/RSP et FIDA1
(Alexandre Humain-Lescop*)
Alexandre Humain-Lescop
  • Chercheur Université Institut Polytechnique de Paris (IP Paris)

Parmi les dispositions de la DSP22 existent des mesures dites d’open banking, imposant aux PSPGCs (prestataire de services de paiement gestionnaire du compte) de fournir gratuitement aux PSIPs (prestataire de services d’initiation de paiement) et aux PSICs (prestataire de services d’information sur les comptes) un accès aux données de paiement de clients qui le souhaitent.

L’évaluation de ce texte a permis d’en identifier certaines limites. Alors que les PSPGCs soulignent un coût d’infrastructure significatif afin de mettre à disposition ces données, les PSIPs et PSICs affirment que la qualité de leurs services serait impactée par un accès « de mauvaise qualité »3.

Ce constat s’inscrit dans un contexte plus large en matière de numérique. Avec sa « stratégie européenne pour les données »4 dont sont issus le DGA5 et la proposition de Data Act6, la Commission européenne s’est engagée à établir un « espace européen commun des données » composé d’espaces sectoriels. L’espace sectoriel de la finance évoqué dans la « stratégie en matière de finance numérique »7 sera composé de trois éléments, dont un reposant sur l’open finance, c’est-à-dire sur le partage d’un grand nombre de données financières des clients, là où l’open banking de la DSP2 se limitait aux données de paiement.

Plusieurs consultations durant 2022, un rapport sur la finance ouverte8 ou encore l’évaluation de la DSP2 précitée ont incité la Commission à publier trois propositions ce 28 juin : une DSP39, un RSP10 (une directive et un règlement sur les services de paiement devant se lire conjointement) ainsi qu’un règlement FIDA11.

Le combo DSP3/RSP remplacera la DSP2 en reprenant ses grands mécanismes et en ajoutant quelques nouveautés, notamment en matière d’amélioration de la disponibilité des liquidités ou de lutte contre la fraude. Pour ces deux textes, la suite de l’article se concentrera sur les mesures relatives à l’open banking uniquement.

De son côté, FIDA disposera exclusivement de mesures touchant à l’open finance.

La Commission explique12 cette séparation des deux régimes par la jeunesse du régime de la DSP2 (accès gratuit aux données de paiement) qu’il aurait été risqué d’intégrer prématurément au futur régime de FIDA (accès à d’autres données financières contre une éventuelle compensation pécuniaire pour le détenteur de données).

Le périmètre des données varie donc entre DSP3/RSP couvrant les données de paiement et FIDA traitant d’autres données financières (notamment sur les prêts, l’épargne, l’investissement, les crypto-actifs, les biens immobiliers, les produits d’assurance, l’évaluation de la solvabilité d’une entreprise, etc.)13.

Le périmètre des parties prenantes varie en conséquence. DSP3/RSP reprend la DSP2 avec d’un côté le PSPGC partageant des données de paiement, et de l’autre le PSIP/PSIC dont les définitions sont légèrement modifiées.

FIDA quant à lui, utilise les notions plus larges de « détenteur de données »14 devant les partager et d’« utilisateur de données »15 pouvant y accéder.

Les institutions financières (établissements de crédit, paiement, monnaie électronique, entreprises d’investissement, d’assurance et de réassurance, fournisseurs de services de crypto-actifs, etc.) sont considérées comme détentrices de données16, mais peuvent également bénéficier des mécanismes offerts aux utilisateurs de données.

D’autres entités au contraire sont exclusivement utilisatrices de données. Il s’agit du PSIF (prestataire de services d’information financière)17 institué par le texte, mais aussi du PSIC18 qui pourra donc à la fois accéder à des données de paiement sous DSP3/RSP et à d’autres données financières sous FIDA.

$!Les données à l’heure des propositions DSP3/RSP et FIDA1

Contrairement à l’approche privilégiée par la proposition de Data Act19, rien n’empêche ici les « contrôleurs d’accès » du DMA20 de bénéficier des régimes d’accès.

Il n’est par ailleurs pas impératif pour un PSIF d’avoir un établissement dans l’Union à la condition de désigner un « représentant légal » dans l’un des États membres21.

Le régime d’agrément des services de paiement (dont le PSIP) et d’enregistrement du PSIC de la DSP2 est globalement repris par DSP3/RSP22.

En ce qui concerne FIDA, la nouvelle qualité de PSIF instaurée par le texte s’obtient par un agrément imposant notamment de déposer auprès de l’autorité nationale compétente une série de documents (comparables à ceux demandés au PSIC23).

La condition de possession d’assurance de responsabilité civile professionnelle est légèrement assouplie par rapport à la DSP2 pour les PSIPs et PSICs lors de leurs demandes respectives24 et est reprise pour les PSIF25.

La suite du processus est également proche dans les deux régimes puisque l’autorité nationale dispose de trois mois pour se prononcer sur les demandes d’agrément26. L’Autorité Bancaire Européenne (ABE) est ensuite notifiée afin qu’elle puisse inscrire l’information dans un registre public27.

Les entités précitées sont ensuite respectivement soumises à certaines dispositions de DORA28 et les deux régimes prévoient des règles de « passeportage » encourageant ainsi la fourniture de services dans d’autres États membres29.

Dans FIDA, le client (personne physique ou morale) a la possibilité de demander directement au détenteur de données de les lui transmettre30. Ce premier mécanisme peut être rapproché du droit à la portabilité du RGPD31, mais concerne à la fois les données personnelles de consommateurs et non personnelles notamment d’entités commerciales32. Cette transmission doit par ailleurs obligatoirement se faire gratuitement, de manière continue et en temps réel.

$!Les données à l’heure des propositions DSP3/RSP et FIDA1

Le second modèle de FIDA est proche de celui prévu par DSP3/RSP (s’inspirant lui-même celui de la DSP2). Le PSIP/PSIC/utilisateur de données ayant obtenu l’autorisation du client peut soumettre une demande au PSPGC/détenteur de données qui doit alors les lui mettre à disposition33.

Les deux régimes varient en ce que l’accès aux données de paiement était gratuit sous DSP2 et le reste sous DSP3/RSP, alors que l’accès aux autres données financières sous FIDA peut induire une compensation au bénéfice du détenteur de données34.

$!Les données à l’heure des propositions DSP3/RSP et FIDA1

L’ABE ayant dû préciser de nombreuses mesures de la DSP235, DSP3/RSP se montre beaucoup plus prescriptif en ce qui concerne les APIs (interfaces de programmation d’application) mises en place par le PSPGC36.

FIDA adopte une approche différente pour déterminer les modalités de partage en laissant 18 mois au marché pour s’organiser autour de « financial data sharing schemes » (représentant des accords contractuels collectifs)37 où seront définies des règles (normes communes, calcul de la compensation, responsabilité, etc.)38. Chaque détenteur/utilisateur de données est libre de devenir membre d’autant de schemes qu’il le souhaite39.

Au contraire, dans l’hypothèse où l’industrie ne parviendrait pas à se mettre d’accord sur certaines catégories de données sous 18 mois, la Commission adoptera un acte délégué fixant directement les conditions d’échange précitées pour un partage de données commençant 24 mois après l’entrée en vigueur de FIDA.

La DSP2 basait le partage de données sur un « consentement explicite »40 du client, de nature contractuelle41. Le client pouvait révoquer ce consentement auprès du PSIP/PSIC l’ayant récolté, mais pas auprès du PSPGC qui avait interdiction de proposer une telle action42.

Les nouveaux régimes changent d’approche en utilisant le terme d’« autorisation »43 du client, que le PSIP/PSIC/utilisateur de données doit obtenir tout en faisant reposer son traitement sur une base légale valide au sens du RGPD lorsque des données personnelles sont en jeu44 (sans que l’interaction entre cette autorisation et les bases légales soit malheureusement clairement définie dans les propositions). Le client doit pouvoir révoquer cette autorisation et la rétablir côté PSIP/PSIC/utilisateur de données45.

L’une des grandes nouveautés est qu’il doit également pouvoir le faire auprès du PSPGC/détenteur de données grâce à un « tableau de bord des autorisations »46. Ce tableau pourra éventuellement être mis en place via47 le futur portefeuille européen d’identité numérique de la proposition eIDASv248 ou via un service d’intermédiaire de partage de données du DGA49.

Un autre point intéressant au stade du partage est l’introduction d’interdictions, faites au PSPGC uniquement, l’empêchant de mettre en place des « obstacles » qui rendraient le partage plus compliqué pour le client ou le PSIP/PSIC50.

En ce qui concerne l’utilisation des données, certains principes du RGPD semblent rappelés notamment en matière de minimisation et de limitation de traitements ultérieurs51.

FIDA encadre également l’utilisation des données obtenues en interdisant la publicité52 et en commandant des lignes directrices à l’ABE (pour les utilisations visant à évaluer la solvabilité d’un particulier) et à l’Autorité européenne des assurances et des pensions professionnelles (pour les utilisations visant à évaluer les risques et en matière de tarification de certaines assurances)53.

La Commission s’engage à présenter, dans les quatre ans suivant respectivement l’entrée en vigueur et l’entrée en application de FIDA54, d’une part un rapport sur l’accès par les PSICs aux données financières avec au besoin une proposition législative et d’autre part, une évaluation du texte ainsi qu’un rapport traitant notamment de l’opportunité de rajouter ou de retirer certaines catégories de données et/ou entités du champ d’application.

Il n’est pas exclu que les mesures d’open banking de DSP3/RSP puissent alors être intégrées dans un FIDA 2, regroupant ainsi open banking et open finance sous un régime unique. n

À retrouver dans la revue
Banque et Droit Nº211
Notes :
1 En référence au colloque « Les données à l’heure de la DSP2 et du RGPD » organisé par l’Association européenne pour le droit bancaire et financier le 9 octobre 2018 (publication dans Banque & Droit de mars 2019).
2 Dir. (UE)2015/2366 concernant les services de paiement dans le marché intérieur.
3 Commission européenne, « A study on the application and impact of Directive (EU)2015/2366 on Payment Services (PSD2) », Office des publications de l'Union européenne, 2023, p. 14.
4 Commission européenne, Communication « une stratégie européenne pour les données », COM/2020/66 final, 19 février 2020.
5 Règl. (UE)2022/868 portant sur la gouvernance européenne des données (Data Governance Act).
6 Prop. de règl. fixant des règles harmonisées pour l’équité de l’accès aux données et de l’utilisation des données (règlement sur les données), COM/2022/68 final.
7 Commission européenne, Communication « sur une stratégie en matière de finance numérique pour l'UE », COM/2020/591 final, 24 septembre 2020.
8 Commission européenne (Groupe d'experts sur l'espace européen des données financières (E03763)), « Report on open finance », octobre 2022.
9 Proposal for a directive on payment services and electronic money services in the Internal Market amending Directive 98/26/EC and repealing Directives 2015/2366/EU and 2009/110/EC, COM/2023/366 final.
10 Proposal for a regulation on payment services in the internal market and amending Regulation (EU)1093/2010, COM/2023/367 final.
11 Proposal for a regulation on a framework for Financial Data Access and amending Regulations (EU)1093/2010, (EU)1094/2010, (EU)1095/2010 and (EU)2022/2554, COM/2023/360 final. La traduction de l’abréviation n’étant pas encore constatée.
12 Prop. RSP cons. 55.
13 Liste exacte dans prop. FIDA, art. 2.1.
14 Prop. FIDA, art. 3.5.
15 Prop. FIDA, art. 3.6.
16 Liste exacte prop. FIDA, art. 2.2 a) à n), à l’exclusion des PSICs (v. note de bas de page n° 18).
17 Prop. FIDA, art. 2.2. o) et 3.7.
18 Lecture combinée prop. FIDA, art. 2.2 b) et 3.5.
19 En ce qui concerne les données de l’internet des objets. V. prop. Data Act art.5.2 et 6.2.d).
20 Ou « gatekeepers » : «entreprise fournissant des services de plateforme essentiels », art. 2.1 du règl. (UE)2022/1925 relatif aux marchés contestables et équitables dans le secteur numérique (règlement sur les marchés numériques).
21 Prop. FIDA, art. 13.
22 V. prop. DSP3, art. 3 à 18 et 36.5.
23 V. à prop. FIDA, art. 12.2.a) à k) et prop. DSP3, art. 36.2 par renvoi aux art. 3.3 a),b),e) à h),j),l),n),p) et q) (les différences entre les deux étant prop. FIDA, art. 12.2 k) et prop. DSP3, art. 3.3 g)).
24 Prop. DSP3, cons. 23 pour les deux ; art. 36.5 pour les PSICs.
25 Dans les conditions de prop. FIDA, art. 12.3.
26 Prop. DSP3, art. 14, et prop. FIDA, art. 14.6.
27 Prop. DSP3, art. 17 et 18, et prop. FIDA, art. 15.5.
28 Règl. (UE)2022/2554 relatif à la résilience opérationnelle numérique du secteur financier, v. prop. RPS art.81, et prop. FIDA, art. 35.
29 Prop. DSP3, art. 30, et prop. FIDA, art.28.
30 Prop. FIDA, art. 4.
31 Règl. (UE)2016/679 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (règlement général sur la protection des données), art. 20.
32 Prop. FIDA, art. 3.1, 3.2, 3.3, 3.10 et 3.11.
33 Prop. RSP, art. 35 à 37 et 40, 41, et prop. FIDA, art. 5.1.
34 Dans les conditions de prop. FIDA, art. 5.2.
35 Plus de 200 « Questions & Réponses », v. ABE, « Opinion of the European Banking Authority on its technical advice on the review of Directive (EU) 2015/2366 on payment services in the internal market (PSD2)», EBA/Op/2022/06, p. 1.
36 V. prop. RSP, art. 35 à 39.
37 Prop. FIDA, cons. 26 et art. 9.1.
38 V. liste exacte dans prop. FIDA, art. 10.1.
39 Prop. FIDA, art. 9.2.
40 DSP2, art. 66, 67 et 94.
41 Comité européen de la protection des données (EDPB), « Lignes directrices 6/2020 relatives à l’interaction entre la deuxième directive sur les services de paiement et le RGPD », 2020, para. 44.
42 V. notamment ABE, « Q&As – 2018_4309 Consent for the provision of PIS and AIS », 2018.
43 « Permission » en anglais, v. notamment prop. RSP, art. 46.1.b et 47.1., a ainsi que prop. FIDA, art. 5.1 et 6.2. (tel que traduit dans le DGA et la prop. Data Act).
44 Prop. RSP, cons., 69, et prop. FIDA, cons.10 et 48.
45 Prop. RSP, art. 46.1 b), 47.1 a) et 49.7, et prop. FIDA, art. 6.3.
46 « Permission Dashboard », prop. RSP, art. 43, et prop. FIDA, art. 8.
47 Prop. FIDA, cons.21.
48 Prop. de règl. modifiant le règl. (UE)910/2014 en ce qui concerne l’établissement d’un cadre européen relatif à une identité numérique, COM/2021/281 final.
49 DGA, art. 10.
50 Prop. RSP, art. 44.
51 RGPD art.,5.1 b) et c), et prop. RSP, art. 45.2 c), 46.2 b) et c), 47. b) et 80, ainsi que prop. FIDA, art. 6.2, 6.4 a) et 7.1.
52 À l’exception du marketing direct. Prop. FIDA, art. 6.4 e).
53 Prop. FIDA, art. 7.2 et 7.3.
54 Prop. FIDA, art. 31.