L'Open Finance face à l'impératif de confiance : L'intégration nécessaire des infrastructures d'identité nationales pour pallier les carences structurelles de FIDA en matière de RGPD, par Wing Han Angela LAW

Ce travail analyse la faisabilité du règlement FIDA (proposition de règlement relatif à l’accès aux données financières) au regard des exigences de protection des données à caractère personnel. En confrontant le modèle décentralisé des « schémas de partage » de FIDA aux dispositifs d’identité nationale français (FranceConnect) et belge (itsme), cette étude démontre que le système FIDA échoue à garantir des données « dignes de confiance » (KYC) ainsi qu'un consentement libre et éclairé. L'intégration de « data utilities » publiques constitue la condition sine qua non de la conformité de FIDA au RGPD (Règlement Général sur la Protection des Données).

Mots-clés : Union européenne – Open Finance – FIDA – RGPD – FranceConnect – Consentement.

L’arrêt OQ v Land Hessen (2023) de la Cour de justice de l'Union européenne (CJUE) a mis en lumière la tension fondamentale entre l’innovation algorithmique et la protection des droits individuels, en qualifiant le calcul d'un score de crédit de "décision automatisée" au sens de l'article 22 du Règlement général sur la protection des données (RGPD). Cette jurisprudence révèle un risque systémique majeur pour la proposition de règlement relative à l’accès aux données financières (FIDA) : en multipliant les traitements automatisés pour le profilage financier sans garantir la fiabilité des données à la source, l’ouverture du marché expose les institutions financières à une insécurité juridique croissante. En effet, le FIDA est censé être créé dans le respect du RGPD, la question dès lors n'est plus seulement de savoir comment partager la donnée, mais comment en certifier la confiance pour éviter une violation massive des droits des utilisateurs. L’Union européenne opère un changement d’échelle massif avec le règlement FIDA qui s’inscrit dans la stratégie numérique du Data Act. En dépassant la DSP2 (la deuxième directive européenne sur les services de paiement), qui limitait le partage aux données de paiement, le FIDA expose désormais l'intégralité du patrimoine financier tel que l'épargne, la bourse, l'assurance et les cryptomonnaies. Ce changement vise à favoriser les innovations des petites et moyennes entreprises (PME) et à booster la compétitivité au sein de l’UE, mais il expose la vie privée financière sans que les garanties de sécurité n'aient été mises à niveau à la mesure de cette nouvelle échelle de partage.

FIDA tente d’instaurer un marché de la donnée fondé sur une synergie entre le détenteur, l’utilisateur de données et le client. Ce mécanisme repose sur une illusion de contrôle, le client étant censé autoriser ou refuser le partage de ses données par le détenteur d'un simple clic sur un tableau de bord (Article 6 FIDA). En réalité, ce partage d'informations très sensibles via une interface purement contractuelle risque de générer une fatigue cognitive. Cela rendrait le choix de l'utilisateur ni éclairé, ni spécifique au sens des articles 4 et 7 du RGPD. Contrairement aux interfaces privées susceptibles de manipuler le consentement, un service public tel que FranceConnect garantit une neutralité et respecte la protection des données dès la conception selon l'article 25 du RGPD. L'AEAPP (Autorité européenne des assurances) a explicitement alerté dans son document de travail sur les risques de surcharge cognitive et l'exploitation des biais comportementaux via des interfaces trompeuses. Elle souligne que sans standardisation stricte, le consommateur finit par accepter les conditions sans les lire, rendant le consentement inopérant.

Alors que le règlement FIDA ambitionne de parachever l'Union des marchés de capitaux par la libre circulation des données, ce changement soulève une interrogation fondamentale sur l'équilibre entre fluidité du marché et protection des droits. Si le texte prévoit des protections contractuelles et techniques, la question se pose de savoir si ces mécanismes décentralisés suffiront, en pratique, à garantir le niveau de confiance et d'exactitude exigé par le RGPD (I). Dès lors, l’enjeu n’est pas seulement technique, mais structurel : il concerne la manière d’assurer la sécurité des échanges financiers sans créer de nouvelles barrières à l’entrée, ainsi que le rôle que les infrastructures d’identité nationales pourraient jouer dans cette architecture de confiance (II).

I. L’insuffisance des mécanismes de FIDA en matière de protections de sécurité et de consentement imposées par le RGPD

Le règlement FIDA facilite les échanges de données pour rendre les actes financiers plus fluides, mais cette ambition crée un risque systémique en l'absence d'une infrastructure de confiance publique. En l'état, certaines garanties fondamentales ne sont pas assurées, notamment l'identité forte et le consentement centralisé.

A. L'insuffisance des « Schémas de Partage » (FDSS) pour garantir la "Donnée Digne de Confiance" (Trustworthy Data)

L'une des failles structurelles du FIDA réside dans la nature des échanges qu'il organise via les « schémas de partage de données financières ». Le règlement délègue à des structures privées la responsabilité de définir les standards techniques et la gestion des litiges (articles 9 et 10 de FIDA), favorisant ainsi la circulation de données dites « brutes ». Concrètement, il s'agit d'informations extraites directement des systèmes des banques sans avoir été certifiées par une autorité tierce pour un usage externe. Les détenteurs de données ne garantissent donc pas que ces informations soient utilisables juridiquement par le destinataire pour ses propres obligations de conformité (articles 4 et 5 de FIDA). Or, les parties prenantes ne collaboreront efficacement que si la donnée est réellement « digne de confiance ».

Cette difficulté opérationnelle n’est pas marginale. Assuralia (la fédération des assureurs) identifie la qualité de la donnée comme un défi majeurs. Elle confirme que traduire des concepts juridiques complexes en standards techniques sans une infrastructure commune est extrêmement difficile et coûteux. Le risque est également soulevé dans l'arrêt OQ v Land Hessen, confirmant que si la donnée d'entrée est mauvaise (brute), le résultat (le score) devient illégal au sens de l’art. 22 du RGPD.

Cette absence de certification a priori menace directement le principe d'exactitude imposé par l'article 5 du RGPD. Si l'identité ou les attributs financiers du client ne sont pas vérifiés par un processus auditable et automatisé avant leur transmission, le système augmente le risque de propagation d'erreurs plutôt que de garantir la sécurité. L'AEAPP avertit d'ailleurs que ces modèles d'accès en temps réel multiplient les risques de litiges concernant l'exactitude ou la complétude des informations, générant une insécurité juridique pour le consommateur dont le profil financier pourrait être altéré par des données erronées.

Par conséquent, l'efficacité économique de FIDA est remise en question par la lourdeur opérationnelle de la procédure de « connaissance client » (connue sous l'acronyme KYC ou Know Your Customer). Cette obligation réglementaire impose de vérifier l'identité et l'intégrité du client pour lutter contre le blanchiment d'argent. Dans un système décentralisé, chaque nouveau prestataire est obligé de refaire ses propres vérifications à zéro, car il ne peut pas faire aveuglément confiance aux informations envoyées par une banque concurrente. Loin de la fluidité promise, ce mécanisme crée une redondance coûteuse pour les acteurs du marché.

Par ailleurs, le règlement FIDA tente de matérialiser le contrôle de l'utilisateur par l'obligation faite aux détenteurs de données de fournir un tableau de bord des permissions, mais la mise en œuvre de cette pratique dans un écosystème décentralisé risque d'entraîner une surcharge cognitive pour l'utilisateur et de l'exposer à des interfaces manipulatrices, contrairement au principe de consentement libre et éclairé exigé par le RGPD.

B. L'illusion du contrôle utilisateur aux « Tableaux de bord » face à la fatigue du consentement

Tout d’abord, l'architecture de FIDA impose que chaque détenteur de données, qu'il s'agisse d'une banque ou d'un assureur, fournisse son propre tableau de bord. Pour un consommateur moyen possédant plusieurs comptes et contrats, cela signifie la gestion d'une multitude d'interfaces différentes pour surveiller son patrimoine. Alors que l’objectif de FIDA est de centraliser tous les patrimoines sur une page pour faciliter l’échange et le partage des données, cette fragmentation crée une surcharge cognitive identifiée comme un risque majeur.

En effet, ces interfaces peuvent être conçues pour exploiter les biais comportementaux des utilisateurs, par exemple en rendant le bouton de partage très visible alors que le bouton de retrait est difficilement accessible. Sans une standardisation stricte du design par une infrastructure publique neutre, le consentement devient une formalité répétitive plutôt qu'un choix libre. Par exemple, la réglementation du consentement aux cookies par la directive ePrivacy vise à renforcer la protection des données personnelles en laissant aux utilisateurs le choix d’accepter ou de refuser le suivi. Toutefois, en pratique, ce mécanisme est souvent critiqué pour sa redondance, les fenêtres de consentement se multipliant alors que l’utilisateur cherche simplement à accéder à un contenu. Le risque est que l'accord au partage de données devienne une condition indispensable pour accéder à des services financiers essentiels, créant une pression économique illégale sur l'utilisateur.

Contrairement au modèle d'un pôle de données de confiance qui centralise la gestion des consentements en un point unique et neutre, FIDA disperse le contrôle. Cette dispersion rend l'exercice des droits, comme le retrait du consentement, particulièrement fastidieux, ce qui contredit l'article 7.3 du RGPD exigeant que le retrait soit aussi simple que l'octroi.

En outre, le tableau de bord FIDA permet de révoquer l'accès futur aux données, mais il offre peu de garanties sur le sort des informations déjà transmises. Une fois que la donnée est sortie de la banque, elle échappe au contrôle technique direct du tableau de bord. Le modèle de l'infrastructure de service de données comble cette carence car il peut certifier non seulement l'arrêt du flux, mais aussi notifier de manière certifiée l'exigence d'effacement de l'ensemble des données, conformément au droit à l'oubli du RGPD.

Ainsi, face à cette fragmentation, les « data utilities » sont nécessaires pour garantir la conformité aux principes du RGPD, notamment l'exactitude et la minimisation des données.

      II.       Protection des données patrimoniales et infrastructures publiques de confiance

Si le règlement FIDA organise la circulation des données financières, il laisse cependant les acteurs du marché face à un défi important sur la garantie de la sécurité et la souveraineté de ces échanges dans un écosystème ouvert. L'analyse des failles structurelles du modèle purement contractuel révèle qu’elle doit s'appuyer sur une infrastructure technique robuste, pour assurer la protection effective des données patrimoniales et prévenir la captation de valeur par les géants numériques.

1. Modèle du Trusted Data Hub et garanties techniques du RGPD

L'intégration d'un « Trusted Data Hub » institue un changement de logique par le passage de coûts individuels à une « KYC Utility » mutualisée. Là où le modèle décentralisé oblige chaque acteur à investir à perte pour vérifier des données brutes, l'infrastructure centrale transforme cette charge en une ressource commune. En certifiant la donnée à la source via des processus automatisés, le Hub produit une donnée digne de confiance et juridiquement opposable. Cette architecture permet aux acteurs financiers de consommer une identité déjà qualifiée, réduisant ainsi le fardeau de la conformité et les risques de responsabilité liés aux décisions automatisées. L'AEAPP cite d'ailleurs l'exemple de « Pensions Info » au Danemark : ce portail national prouve la faisabilité du modèle avec un coût mutualisé dérisoire, confirmant que la centralisation réduit drastiquement les frais par rapport aux connexions bilatérales.

Par ailleurs, l'intervention de l'État via cette infrastructure restaure la symétrie des pouvoirs dans la gestion du consentement. Plutôt que de subir les défauts des tableaux de bord privés, l'usager bénéficie d'un Hub agissant comme un tiers de confiance notarial. Il offre une traçabilité complète des mandats et garantit l'effectivité technique du droit à l'oubli (Art. 17 RGPD). En centralisant l'authentification, l'infrastructure publique devient une « douane numérique » capable de bloquer les accès abusifs, transformant la vie privée en un standard technique (Privacy by Design) plutôt qu'en une simple clause contractuelle.

Cette rationalisation du marché est indispensable à la libéralisation voulue par l'Union. Actuellement, la redondance des procédures de conformité freine les échanges transfrontaliers. Alors qu’en mutualisant cette charge, on transforme une contrainte administrative en un standard de marché unifié. Cela permet d'instaurer une concurrence loyale fondée sur l'innovation plutôt que sur la capacité des acteurs à supporter des coûts de vérification disproportionnée. Sans ce modèle souverain, le FIDA risque d'instaurer une asymétrie majeure face aux « Gatekeepers », tels que les GAFAM situés aux États-Unis, acteurs dominants du numérique, qui sont soumis à des obligations de transmission de données américaine incompatibles avec celles exigées par l’Union européenne. Au lieu de booster la compétitivité, le règlement pourrait transformer les acteurs financiers européens en simples fournisseurs de matière première pour des écosystèmes dominants.

Dès lors, au lieu de favoriser l'émergence de champions européens, FIDA pourrait paradoxalement cantonner les institutions financières de l'Union au rôle de fournisseurs des « données brutes » pour des écosystèmes numériques dominants, consolidant ainsi une dépendance technologique vis-à-vis d'acteurs dont les centres de décision et de profit échappent à la juridiction européenne.

B. Independence technologique de l’UE et rempart contre les géants du numérique 

Tout d’abord, le modèle FIDA crée un transfert de valeur à sens unique en obligeant les institutions financières européennes à partager leurs données clients avec des tiers autorisés, sans imposer d'obligation équivalente aux entreprises technologiques non financières. Cette absence de réciprocité permettrait aux plateformes de commerce en ligne ou aux réseaux sociaux d'aspirer des données financières précises pour affiner leurs algorithmes de profilage, tout en gardant leurs propres bases de données fermées aux acteurs européens. Ce déséquilibre crée un terrain de jeu inégal où les géants du numérique peuvent cibler les clients les plus rentables par un profilage, laissant aux autres acteurs la charge des risques et les coûts de gestion des données.

Ensuite, le dispositif permettant aux prestataires de pays tiers d’accéder au marché via un simple « représentant légal » (article 13 de la proposition FIDA) suscite des préoccupations quant à l’homogénéité de la surveillance. Contrairement à l'exigence d'établissement physique prévue par la DSP2, cette flexibilité risque de favoriser des stratégies de « forum shopping », incitant les acteurs extra-européens à sélectionner la juridiction nationale perçue comme la moins contraignante. Cette architecture interroge la capacité effective des régulateurs européens à imposer le respect du RGPD, auquel ces entités sont en principe soumises, ainsi que des standards de sécurité, dès lors que leurs infrastructures techniques demeurent situées hors de l’Union. Dès lors, la protection de l'économie des données européenne semble nécessiter un encadrement plus strict de ces accès, par exemple via une supervision centralisée ou une exigence d’établissement, afin de prévenir une asymétrie réglementaire préjudiciable à la souveraineté numérique des citoyens.

Face au risque de concentration des données, le débat législatif actuel varie entre l'exclusion totale des « Gatekeepers » du statut de prestataire financier et une autorisation sous réserve d'une évaluation stricte. Cependant, une simple interdiction juridique resterait inefficace et peut être contournée par des contrats bilatéraux ou des rachats d'entreprises. En revanche, les « data utility », pourrait aider à transformer la règle de droit en une barrière technique efficace.

Cette asymétrie concurrentielle est également dénoncée par les acteurs du secteur. Insurance Europe a publié une position officielle demandant explicitement l'exclusion des « acteurs à haut risque » (les Big Techs) du rôle de prestataire de services d’information financière. Elle démontre que permettre aux géants de la tech d'accéder aux données sans réciprocité créerait une concurrence déloyale et menacerait l'économie des données européenne.

En centralisant l'authentification et l'autorisation d'accès, l'Europe pourrait créer douane numérique capable de bloquer les requêtes abusives ou non conformes. Une infrastructure souveraine peut garantir le respect de la réciprocité et protéger les données personnelles contre l'aspiration massive des géants du numérique, rétablissant ainsi une souveraineté effective que le contrat privé seul ne peut assurer.

Notes de bas de pages : 

Sources legislatives: 

• Règlement (UE) n° 2023/2854 du Parlement européen et du Conseil du 13 décembre 2023 relatif à des règles harmonisées concernant l’accès équitable aux données et leur utilisation (Data Act).
• Règlement (UE) n° 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (Règlement général sur la protection des données – RGPD), art. 4, 7, 7, § 3, 17, 22 et 25.
• Directive (UE) 2015/2366 du Parlement européen et du Conseil du 25 novembre 2015 concernant les services de paiement dans le marché intérieur (DSP2).
• Directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 relative au traitement des données à caractère personnel et à la protection de la vie privée dans le secteur des communications électroniques (directive ePrivacy).
• Commission européenne, Proposition de règlement du Parlement européen et du Conseil relatif à un cadre pour l’accès aux données financières (Financial Data Access – FIDA), COM(2023) 360 final, 28 juin 2023, art. 4, 5, 6, 9 et 10.
• CJUE, 7 décembre 2023, OQ c/ Land Hessen (SCHUFA Holding AG), aff. C-634/21.

Sources doctrinales:

• Assuralia, FIDA – Key Challenges, Opportunities & Strategic Directions, 2025.
• Christensen, Louise Damkjær, « The New Financial Information Service – Changing the Market of Information Services for the Better? », European Business Law Review, vol. 35, n° 6, 2024.
• EIOPA, Discussion Paper on Open Insurance: an exploratory use case in the insurance sector, 2023.
• Commission européenne, Proposition de règlement relatif à un cadre pour l’accès aux données financières (FIDA), COM(2023) 360 final, art. 12.
• Muçi, Eugerta & Tagliamonte, Irene, « The EU Open Finance Proposal: A Tool for Higher Integration of Capital Markets? », Genoa Centre for Law and Finance, working paper n° 6/2026.
• Pflücke, Felix, « Data Access and Automated Decision-Making in European Financial Law », European Journal of Risk Regulation, vol. 16, 2025, p. 11-23.
• Van Maele, Thomas (Harmoney), Financial Data Access – Exploring Concrete Use Cases, 12 décembre 2025.