Paiements

Droit

L’open finance, au-delà des comptes et des données de paiement

Créé le

20.12.2023

-

Mis à jour le

10.01.2024

« Data sharing arrangements in Open Finance build on existing data sharing frameworks in Open Banking and expand data access and sharing to data sources beyond payment data. » (Incipit du rapport de l’OCDE « Open Finance Policy Considerations », OECD Business and Finance Policy Papers, OECD Publishing, 2023)

L’open finance, au-delà des comptes et des données de paiement
Pierre Storrer
  • Avocat au Barreau de Paris Storrer & Associés

Il en va de la banque et de la finance comme des autres activités humaines, y compris à l’heure de l’intelligence artificielle : elles connaissent des tendances, mais aussi des modes, que l’on repère à l’usage de mots magiques : l’« ouvert » (open) est de ceux-là, associé à la course à l’innovation, bien entendu. Ouvrir toujours plus l’accès aux données financières, les partager davantage... tout en encadrant strictement tout cela ; telle est, rapidement dit, la tendance – ou la mode, c’est selon – de l’open finance, version financiarisée de la fameuse « économie fondée sur les données »...

L’expression d’open finance ou « finance ouverte » a semble-t-il été popularisée, sur le terrain réglementaire, par la communication de la Commission européenne sur « une stratégie en matière de finance numérique pour l’UE », du 24 septembre 20201. Au titre des priorités exposées, figurait celle de promouvoir l’innovation fondée sur les données dans le domaine de la finance en créant un « espace commun » des données financières. Où l’on observe avec intérêt la confluence entre droit des données et droit des paiements : « D’ici 2024, l’Union devrait avoir mis en place un cadre en matière de finance ouverte, conformément à la stratégie européenne en matière de données, à la future loi sur les données et à la législation sur les services numériques. Ce cadre sera coordonné avec le réexamen de la directive sur les services de paiement »2. Ce sont encore les experts, en somme, qui en parlent le mieux (et en anglais) : « Open finance refers to the sharing, access and reuse of personal and non-personal data for the purposes of providing a wide range of financial services. The objective of open finance is to promote innovative financial products and services to the direct benefit of consumers and firms. A key condition for open finance is strong consumer trust and confidence3. »

Stratégie européenne

C’est que la stratégie en matière de finance numérique répond en effet à une autre : « Une stratégie européenne pour les données », exposée par la Commission le 19 février précédent 4, dans le prolongement de la directive (UE) 2019/1024 du Parlement européen et du Conseil du 20 juin 2019 concernant les données ouvertes (open data) et la réutilisation des informations du secteur public. L’enseignement immédiat d’une telle collision entre données et finance est, à l’évidence, qu’il existe un marché de la donnée (numérique) et que les pouvoirs publics de l’Union entendent bien en tirer les meilleurs profits, ce dont, manifestement, le contrôleur européen de la protection des données se félicite5.

L’open finance est la suite d’un précédent mouvement : celui de l’open banking, très exactement né de la deuxième directive relative aux services de paiement, dite « DSP2 »6. En fait de « banque ouverte », la grande nouveauté était que la loi fondamentale des paiements révisée permettait à de nouveaux acteurs – prestataires de services d’information sur les comptes (PSIC) et prestataires de services d’initiation de paiement (PSIP) – d’accéder, sur permission expresse de leur titulaire, aux comptes bancaires (de paiement, est-il plus juste de les nommer) tenus par d’autres, dénommés pour l’occasion « prestataires de services de paiement gestionnaires de comptes » (PSPGC)7. À l’unique condition que son compte de paiement soit accessible en ligne, l’utilisateur de services de paiement (USP) se voyait ainsi reconnaître tant le droit de recourir à des services permettant l’accès aux données de compte (information sur les comptes ou « agrégation de données ») que le droit de s’adresser à un PSIP pour initier un paiement par virement. Dit autrement, « l’open banking désigne l’ouverture et le partage des données dans le cadre des nouvelles technologies, de la directive service de paiement 2 (DSP2) et du règlement sur la protection des données personnelles (RGPD) »8.

On se souvient qu’au moment de la transposition française de la DSP2, de nombreux acteurs fintechs plaidèrent, non sans mauvaise foi, pour une ouverture de ces services de banque ouverte au-delà des seuls comptes – et données – de paiement. À quoi il fut légitime de leur répondre que la DSP2, par définition, ne pouvait aller au-delà de son objet : les services de paiement assis sur les comptes de paiement aux fins d’exécution d’opérations de paiement. Il n’empêche, l’ouverture, par nature, souffre assez mal d’être bridée.

C’est donc sans surprise que les futures règles de l’open finance, bien qu’elles prennent directement leur source dans l’open banking, ne se trouvent pas logées dans les propositions de DSP39 ou de RSP10 concomitantes, mais dans une proposition de règlement relatif à « un cadre pour l’accès aux données financières » : « La présente proposition se fonde sur la deuxième directive sur les services de paiement (DSP2), qui a autorisé le partage des données relatives aux comptes et aux paiements (“banque ouverte”). Elle permet de partager un ensemble plus large de données relatives aux services financiers et fixe les modalités selon lesquelles le partage de données doit être réalisé »11.

Figurant dans le même paquet législatif que les propositions de DSP3 et de RSP, le projet dit « FiDA » (Financial Data Access) a tout pour épouser l’air du temps : octroi de la possibilité, mais pas l’obligation, pour les clients de partager leurs données avec des utilisateurs de données ; obligation pour les détenteurs de données clients (les établissements financiers) de mettre ces données à la disposition des utilisateurs de données ; contrôle total, par les clients, des personnes qui accèdent à leurs données et de la finalité poursuivie ; normalisation des données clients et des interfaces techniques requises dans le cadre des systèmes de partage de données financières ; régimes de responsabilité clairs en cas de violations de données et des mécanismes de règlement des litiges prévus dans les systèmes de partage des données financières, et incitations supplémentaires pour les détenteurs de données à mettre en place des interfaces de haute qualité pour les utilisateurs de données grâce à une compensation raisonnable de la part des utilisateurs de données12.

Cela n’est toutefois pas sans paradoxe, dont le plus visible est sans doute que les données de « banque ouverte » (comptes de paiement), puisqu’elles obéissent déjà au régime de la DSP2 et, bientôt, à celui des DSP3 et RSP, se trouvent de facto exclues du futur cadre général de l’accès aux données financières, même si une clause de réexamen est prévue afin que la Commission puisse évaluer les conditions d’accès aux données financières par les PSIC13. Quelle ironie que ceux-là mêmes qui réclamaient, hier, de pouvoir opérer au-delà des comptes et données de paiement à partir de leur statut de prestataire de services de paiement (PSP), soient traités demain en marge de l’open finance.

À ce partage historique lié au passage de l’open banking à l’open finance, s’ajouterait au moins un autre, exposé au considérant 50 de la proposition de règlement, lorsqu’il énonce que le texte ne porterait pas atteinte aux dispositions existantes, dans le droit financier de l’Union, en matière d’accès et de partage des données. Leur rappel permet de balayer d’un coup le paysage réglementaire existant : i) accès aux indices de référence et régime d’accès aux produits dérivés cotés entre plates-formes de négociation et contreparties centrales (règlement (UE) nº 600/2014 du Parlement européen et du Conseil), ii) règles en matière d’accès des prêteurs aux bases de données (directive 2014/17/UE du Parlement européen et du Conseil), iii) règles en matière d’accès aux référentiels des titrisations (règlement (UE) 2017/2402 du Parlement européen et du Conseil), iv) règles concernant le droit de demander un relevé de sinistres à un assureur et accès aux référentiels centraux et aux données de base nécessaires au règlement des sinistres (directive 2009/103/CE du Parlement européen et du Conseil), v) droit d’accéder à toutes les données à caractère personnel nécessaires aux fournisseurs de produits paneuropéens d’épargne retraite individuelle, et de les leur transmettre (règlement (UE) 2019/1238 du Parlement européen et du Conseil), et vi) externalisation (directive (UE) 2018/843 du Parlement européen et du Conseil).

Manque de définition

Mais là où le bât blesse, notamment, c’est lorsque la Commission nous promet un règlement relatif à l’accès aux « données financières », alors que celles-ci ne sont finalement... jamais définies. Le sont, en revanche, et ce n’est pas tout à fait la même chose, les « données client », entendues comme « les données à caractère personnel et non personnel qui sont collectées, conservées et traitées d’une autre manière par un établissement financier dans le cadre de ses relations commerciales normales avec ses clients et qui recouvrent à la fois les données fournies par les clients et les données générées à la suite d’une interaction entre un client et l’établissement financier »14 (étant précisé que le client est lui-même défini comme « une personne physique ou morale qui utilise des produits et services financiers »15). On se forgera peut-être une autre définition, plus rapide, des données financières : les données client relevant du domaine des services financiers16.

Sachant que cette définition ne dit encore rien si l’on ne se réfère pas également aux « catégories de données client » couvertes par la proposition de règlement, telles que listées au paragraphe 1er de son article 2 (voir encadré) ; à moins que l’on choisisse cette autre délimitation tenant à la qualité d’« établissement financier », qui recouvre, que ce soit en tant que détenteur ou utilisateur de données : a) les établissements de crédit ; b) les établissements de paiement, y compris les prestataires de services d’information sur les comptes et les établissements de paiement exemptés en vertu de la DSP2 ; c) les établissements de monnaie électronique, y compris les établissements de monnaie électronique exemptés en vertu de la DME 2 ; d) les entreprises d’investissement ; e) les prestataires de services sur crypto-actifs ; f) les émetteurs de jetons se référant à un ou des actifs ; g) les gestionnaires de fonds d’investissement alternatifs ; h) les sociétés de gestion d’organismes de placement collectif en valeurs mobilières ; i) les entreprises d’assurance et de réassurance ; j) les intermédiaires d’assurance et les intermédiaires d’assurance à titre accessoire ; k) les institutions de retraite professionnelle ; l) les agences de notation de crédit ; m) les prestataires de services de financement participatif, et n) les fournisseurs de PEPP17. Tout le monde, donc, à l’exception, faut-il noter, des PSIC...

On le sait, parce qu’on l’a vu à l’œuvre dans la DSP2, l’ouverture doit composer avec la sécurité18 ; toujours plus d’ouverture, ou de liberté, suppose paradoxalement de renforcer sans cesse les mesures de protection contre à peu près tous les risques ; protection et « résilience », faut-il ajouter, à telle enseigne, au demeurant, que notre proposition législative prévoit d’ajouter la catégorie des « prestataires de services d’information financière » (PSIF, voir infra) à la liste des assujettis au règlement DORA19. Mais le couple « ouverture et sécurité » n’est plus le seul ; le banquier central en ajoute volontiers deux autres : « innovation et intégration », d’une part ; « concurrence et souveraineté », de l’autre20. Ainsi, le risque de fragmentation justifierait une coopération accentuée avec les pouvoirs publics, par exemple en faveur d’une amélioration des APIs, sinon de leur standardisation. Plus éloquente encore est la création en cours, sous l’égide de l’European Payments Council, du SEPA Payment Account Access (SPAA), qui se présente comme un nouveau schéma d’open payments, à mi-chemin entre la banque et la finance ouvertes. Quant à l’enjeu de concurrence vs souveraineté, il renvoie directement à la peur des bigtechs extra-européennes et à leur pouvoir de marché, en l’espèce le marché des données (des data). Mais cela dépasse, nous semble-t-il, la simple régulation, qui ne pourra pas grand-chose tant que des champions industriels européens ne seront pas au niveau d’une économie ouverte... et sûre.

Pour l’heure, la Commission européenne entend promouvoir « l’économie des données financières de l’Union »21. Trois instruments principaux y pourvoiraient : (1) la fourniture obligée, par les détenteurs de données aux clients, de « tableaux de bord des permissions d’accès aux données financières communs et cohérents »22 ; (2) l’appartenance, également obligée, de ces mêmes détenteurs, rejoints par les utilisateurs de données, à des « systèmes de partage des données financières », propres à « élaborer des normes en matière de données et d’interfaces, des cadres contractuels communs et normalisés régissant l’accès à des ensembles de données spécifiques, ainsi que des règles de gouvernance applicables au partage de données »23 et, enfin, (3) la création de la nouvelle catégorie des « prestataires de services d’information financière » qui, titulaires d’un agrément spécifique prévu par la présente proposition de règlement, seraient, avec les établissements financiers d’ores et déjà réglementés, les seuls à avoir accès aux données financières24.

On corrige, du coup, un peu, ce que l’on a écrit plus haut sur les limites de la régulation : l’obligation faite aux PSIF d’être constitués dans l’Union ou, à défaut, de désigner un représentant légal dans l’Union, responsable devant les autorités compétentes25, devrait être une sacrée « pierre » dans le jardin européen des si redoutées bigtechs...

À retrouver dans la revue
Revue Banque Nº887-888
Les données clients selon l’article 2, paragraphe 1, de la proposition de règlement
a) les données relatives aux contrats de crédit hypothécaire, aux prêts et aux comptes, à l’exception des comptes de paiement au sens de la directive (UE) 2015/2366 sur les services de paiement, y compris les données sur les conditions, les soldes et les transactions ;
b) les données relatives à l’épargne et aux investissements dans des instruments financiers, des produits d’investissement fondés sur l’assurance, des crypto-actifs, des biens immobiliers et d’autres actifs financiers liés, ainsi qu’aux avantages économiques tirés de ces actifs, y compris les données collectées aux fins de la réalisation d’une évaluation de l’adéquation et du caractère approprié conformément à l’article 25 de la directive 2014/65/UE du Parlement européen et du Conseil ;
c) les données relatives aux droits à pension dans le cadre de régimes de retraite professionnelle, conformément à la directive 2009/138/CE et à la directive (UE) 2016/2341 du Parlement européen et du Conseil ;
d) les données relatives aux droits à pension dans le cadre de la fourniture de produits paneuropéens d’épargne-retraite individuelle (PEPP), conformément au règlement (UE) 2019/1238 ;
e) les données relatives aux produits d’assurance non-vie conformément à la directive 2009/138/CE, à l’exception des produits d’assurance maladie et santé, y compris les données collectées aux fins d’apprécier les exigences et les besoins du client conformément à l’article 20 de la directive (UE) 2016/97 du Parlement européen et du Conseil et les données collectées aux fins d’une évaluation de l’adéquation et du caractère approprié conformément à l’article 30 de ladite directive ;
f) les données relevant d’une évaluation de la solvabilité d’une entreprise qui sont collectées dans le cadre d’une procédure de demande de prêt ou d’une demande de notation de crédit.
Notes :
1 COM(2020) 591 final.
2 Précit., p. 16.
3 Union européenne, Report on Open Finance, oct. 2022, p. 5.
4 COM(2020) 66 final.
5 Résumé de l’avis du contrôleur européen de la protection des données sur la proposition de règlement relatif à un cadre pour l’accès aux données financières, C/2023/1054, JOUE 20 nov. 2023.
6 Directive (UE) 2015/2366 du Parlement européen et du Conseil du 25 novembre 2015 concernant les services de paiement dans le marché intérieur, modifiant les directives 2002/65/CE, 2009/110/CE et 2013/36/UE et le règlement (UE) n° 1093/2010, et abrogeant la directive 2007/64/CE.
7 ACPR, « De nouveaux acteurs régulés dans les paiements... », sept. 2018.
8 Comité consultatif du secteur financier, Rapport 2018, p. 28, note 15.
9 Proposition de directive du Parlement européen et du Conseil concernant les services de paiement et les services de monnaie électronique dans le marché intérieur, modifiant la directive 98/26/CE et abrogeant les directives (UE) 2015/2366 et 2009/110/CE, COM(2023) 366 final, 28 juin 2023.
10 Proposition de règlement du Parlement européen et du Conseil concernant les services de paiement dans le marché intérieur et modifiant le règlement (UE) nº 1093/2010, COM(2023) 367 final, 28 juin 2023.
11 Proposition de règlement du Parlement européen et du Conseil relatif à un cadre pour l’accès aux données financières et modifiant les règlements (UE) nº 1093/2010, (UE) nº 1094/2010, (UE) nº 1095/2010 et (UE) 2022/2554, COM(2023) 360 final, 28 juin 2023, Exposé des motifs, p. 2.
12 Cf. Commission européenne, « Moderniser les services de paiement et ouvrir les données des services financiers : nouvelles perspectives pour les consommateurs et les entreprises », Communiqué de presse, 28 juin 2023.
13 Cf. Prop. précit., art. 31.
15 Prop. précit., art. 3, 3).
16 Prop. précit., art. 3, 2).
17 Cf. Prop. précit., art. 1er, al. 1er : « Le présent règlement établit des règles relatives à l’accès à certaines catégories de données client relevant du domaine des services financiers, à leur partage et à leur utilisation. »
18 Cf. Prop. précit., art. 2, § 2.
20 Cf. P. Storrer, « DSP2 : la liberté au prix de la sécurité », Revue Banque n° 793, févr. 2016, p. 36.
21 Règlement (UE) 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier et modifiant les règlements (CE) n° 1060/2009, (UE) n° 648/2012, (UE) n° 600/2014, (UE) n° 909/2014 et (UE) 2016/1011.
22 Cf. D. Beau, « De l’open banking à l’open finance », Rencontres « L’Europe des services bancaires et financiers », 24 mars 2022.
23 Prop. précit., cons. 6.
24 Prop. précit., cons. 21 et titre III, « Utilisation responsable des données et tableaux de bord des permissions ».
25 Prop. précit., cons. 25 et titre IV « Systèmes de partage des données financières ».
26 Cf. Prop. précit., cons. 31 et titre V « Éligibilité à l’accès aux données et organisation ».
27 Cf. Prop. précit., art. 13.