Depuis 2015, le secteur bancaire s’est familiarisé avec le concept d’open banking. À l’époque, la révision de la directive services de paiement (DSP2) avait bousculé les banques en obligeant le partage des données de paiement. Loin de s’inscrire dans une simple continuité, le régulateur cherche désormais à faire entrer le marché dans l’ère de l’open finance avec le projet de règlement sur l’accès aux données financières (FiDA – Framework for Financial Data Access) présenté en juin 2023 par la Commission européenne. Proposant une méthode inopérante pour les banques, le texte pourrait s’avérer également très préjudiciable pour le client, conduisant à une démutualisation des offres de services bancaires et assurantiels, et en ne couvrant pas exhaustivement les risques en matière de cybersécurité.
Un contrat sans consentement
Les objectifs poursuivis par l’open finance sont à première vue compréhensibles : améliorer l’offre en stimulant la concurrence et l’innovation, augmenter la confiance des clients dans les services numériques. En ce sens, FiDA permettrait aux consommateurs et aux entreprises d’autoriser des tiers à accéder à leurs données détenues par des institutions financières (banques et assurances). Cependant, les moyens proposés sont plus contestables.
La proposition de la Commission européenne prévoit que l’accès aux données entre détenteurs et utilisateurs de données passe par un système organisé de partage dit « scheme », qui n’est ni plus ni moins qu’un contrat de société, avec une gouvernance propre, un dispositif de compensation/ rémunération ou encore des standards restant à définir entre membres de ce scheme.
Les établissements détenteurs de données sont face à une inadéquation entre l’obligation légale et le moyen d’y répondre : l’ouverture des données s’impose à eux sous l’exécution d’un contrat... auquel ils seraient tenus d’adhérer !
Dans ce contexte imposé, qu’en est-il de la liberté contractuelle et de l’existence d’un affectio societatis entre les parties ? Le concept de scheme, emprunté au marché des paiements, est inadapté au partage obligatoire des données. En effet, les schemes de paiement sont des accords qui respectent les principes fondateurs du droit des contrats : une volonté librement exprimée, comprenant une liberté d’adhésion mais aussi de sortie, à des conditions convenues à l’avance, afin d’organiser l’exécution des obligations.
Autre contrainte : les schemes doivent être opérationnels ou quasiment, sous 18 mois1, le règlement imposant aussi les conditions de gouvernance et leurs grandes règles de fonctionnement2. Enfin, sous forme d’ultimatum, la Commission européenne s’arroge le droit de définir elle-même les modalités de partage des données en l’absence d’accord3. Or, au sens de FiDA, les schemes rassemblent des détenteurs et des utilisateurs de données, ainsi que des associations de consommateurs. Tant que l’intérêt commun de ces trois populations n’aura pas été identifié, il semble irréaliste de voir aboutir la construction d’un scheme de partage de données financières. À ce titre, la possibilité pour la Commission européenne de se substituer au marché par voie d’acte délégué est déjà un aveu de leur échec.
Dans ce cadre, il apparaît donc souhaitable que l’échange de données soit réalisé par voie contractuelle volontaire, que ce soit par des schemes à adhésion optionnelle4 ou par contractualisation bilatérale. Les pistes de réflexion en cours au Parlement européen et au Conseil de l’Union européenne (UE) pour découper l’approche en périmètre de données ou en étapes de mise en œuvre ne seront pas satisfaisantes tant que les problématiques de l’intérêt commun et de l’adhésion aux schemes ne sont pas résolues.
La concurrence au détriment de la mutualisation
Pratiquement, une année s’est écoulée depuis la publication de la proposition de règlement FiDA. Le Conseil de l’UE, le Parlement européen se sont déjà longuement penchés sur le dossier, et pourtant, l’intérêt de FiDA est encore confus. Quelle est la nature exacte des services additionnels proposés par les nouveaux acteurs ? En l’absence de définition du service d’information financière, il est difficile d’en identifier la valeur ajoutée. S’il s’agit, comme l’intitulé le laisse à penser, de consolidation d’informations financières, à l’instar du service d’information sur les comptes promu par la DSP2, on peut anticiper que l’intérêt sera faible. À titre de comparaison, seulement 6 % des clients utilisent les services d’agrégation de leur banque, ils sont encore moins nombreux à utiliser les agrégateurs externes des fintechs : 4 %5. À l’aune de cette perspective, il est urgent de se demander s’il est opportun de construire tout un système pour échanger les données financières.
De plus, si l’on suit la logique de FiDA, l’objectif est d’accroître la transparence et l’information sur les produits financiers entre établissements, affaiblissant in fine la confidentialité des offres. Cette conséquence peut être dangereuse à plusieurs titres. D’une part, exacerber la compétitivité-prix ne bénéficierait qu’aux clients les moins risqués, et exclurait les clients plus fragiles. On arriverait alors, par segmentation de l’offre tarifaire, à une exclusion financière. Même situation dans l’assurance : les profils moins risqués profiteraient de meilleures offres, au détriment des profils marqués par une rentabilité moindre, mettant à mal la mutualisation des risques, principe fondateur de l’assurance. Plus largement, dans une logique de courtage, des offres spécialisées par profilage des clientèles pourraient voir le jour. D’autre part, FiDA ne bénéficierait qu’aux clients maîtrisant les outils numériques, accroissant l’exclusion de certaines clientèles.
L’un des risques encourus sous FiDA est de construire un marché à deux vitesses aggravant les inégalités et démutualisant les offres par une personnalisation excessive. C’est un modèle de la banque-assurance auquel le Groupe Crédit Mutuel s’oppose fermement afin de préserver l’intérêt collectif de ses clients. Plus encore, il s’agit d’un choix de société. En tant qu’entreprise à mission, il est de notre devoir d’alerter les régulateurs contre les dérives d’une telle réglementation.
Un cadre de sécurité insuffisant
Dans un contexte où l’usurpation d’identité des intermédiaires et des clients est devenue une technique de fraude majeure, et notamment bien aguerrie dans les paiements, il semble très surprenant que FiDA ne prévoie aucune sécurisation de l’identité et de l’agrément des nouveaux intermédiaires, par lesquels transiteront les données financières des clients. En particulier, lors d’une demande de partage faite par un intermédiaire, ou data user, à une banque, ou data holder, le texte ne prévoit pas de mesure donnant la possibilité à la banque de s’assurer directement auprès de son client qu’il a bien donné son accord, avant de transmettre les données à l’intermédiaire. Et une fois ces données transmises, où seront-elles stockées et selon quels standards de sécurité ? Ces points majeurs et manquants dans le projet de réglementation peuvent légitimement inquiéter les acteurs du secteur bancaire et les consommateurs, tant la cybersécurité et la prévention contre la fraude apparaissent comme des prérequis indispensables à toute réglementation visant à permettre le partage de données pour le citoyen. Plus généralement, cette interrogation nous ramène à la problématique principale soulevée par FiDA : le besoin éventuel sur l’open finance justifie-t-il de tels risques ?
