FIDA : les 8 défis technologiques à relever pour en sortir gagnant

Le règlement FIDA (Financial Data Access), proposé par la Commission européenne le 28 juin 2023, constitue une petite révolution pour les acteurs financiers. Le projet couvre un large éventail de données : profils clients, crédits hypothécaires et prêts, comptes d’épargne, comptes d’investissement, comptes de cryptoactifs, pensions professionnelles et personnelles, produits d’assurance non-vie (hors maladie et santé), données nécessaires aux évaluations de crédits. Il s’agit ainsi d’une avancée significative vers l’Open Finance.

Lire le 1er volet : Accès aux données  financières : faut-il avoir peur de FIDA  ?

Les principaux acteurs concernés par FIDA, en dehors des entités de régulation, sont :

• le client : personne physique ou morale utilisant les produits et services financiers,
• le détenteur de données : l’établissement financier collectant, conservant et traitant les données du client,
• l’utilisateur de données : entité avec un droit d’accès et d’usage, ce rôle peut être cumulé avec celui de détenteur de données

Règlementation ambitieuse, FIDA ouvre un large champ d’opportunités pour les acteurs de la banque et de l’assurance. Elle soulève aussi des questions quant aux impacts potentiels sur les modèles d’affaires des assureurs. Et pose aux départements IT et data des défis majeurs en matière de gestion des systèmes d’information et de la donnée.

Défi N°1 : Assurer l’interopérabilité entre les différents acteurs

FIDA impose des standards communs d’accès aux données avec des cadres organisationnels et techniques visant à harmoniser et sécuriser la transmission d’informations entre différents acteurs. Dans ce cadre les normes d’échange, notamment les FDSS (Financial Data Sharing Schemes), seront un élément central dans l’application de règles harmonisées pour le partage des informations.

Si FIDA n’impose pas l’adhésion à un FDSS, il sera néanmoins difficile de fonctionner sans. Dans une logique d’efficacité opérationnelle, les détenteurs de données auront intérêt à collaborer pour définir des règles communes d’interfaçage. Se posera aussi la question du positionnement vis-à-vis des standards d’échanges existants (findatex, swift…).

Défi N°2 : Perfectionner les systèmes d’échanges de données

Les données devront être fournies rapidement, sans retard injustifié et au format défini dans les normes d’échange précédemment évoquées. De ce fait, un des défis majeurs de FIDA concernera la standardisation des API performantes et sécurisées d’échanges de données. Ces API, essentielles pour assurer le partage des données clients avec des tiers, devront être interopérables entre elles. De quoi rendre plus nécessaire encore la collaboration entre les différentes institutions.

La mise en place de ces API d’échanges pourrait avoir des impacts plus profonds que le périmètre du seul FIDA. Elle pourra de fait déclencher ou accélérer la mise à jour ou le renouvellement des infrastructures et patrimoines applicatifs vieillissants.

Défi N°3 : Organiser la gestion du consentement

Point important : le client a un pouvoir de consentement et un droit de contrôle sur la mise à disposition et l’usage de ses données personnelles.

Les détenteurs de données doivent ainsi mettre en place des systèmes pour gérer le consentement explicite des clients. Celui-ci, indispensable pour le partage des données, doit pouvoir être révoqué à tout moment, avec des répercussions tant pour le détenteur de données que pour l’utilisateur.

Les détenteurs de données devront fournir un tableau de bord qui permettra aux clients de renouveler, retirer ou simplement surveiller les autorisations qu’ils ont accordées. Ce cadre de confiance permettra aux clients d’avoir une vision éclairée des données qu’ils acceptent de partager.

Le succès de cette initiative dépend largement de l’adhésion des clients. A cet égard, la prise en compte de l’expérience client ne doit pas être sous-estimée. Ces derniers pouvant être clients de plusieurs institutions, sans coordination entre les différentes institutions ou intervention d’une entité tierce, ils pourraient se retrouver avec plusieurs types d’interface non harmonisées.

Défi N°4 : Répondre aux exigences de sécurité

FIDA va imposer des normes strictes en termes de sécurisation des données : des protocoles de sécurité avancés, comme le chiffrement et des contrôles d’accès rigoureux dans la lignée des normes définies dans le cadre de la DORA (Digital Operational Resilience Act).

Avec FIDA, les institutions vont échanger et stocker un volume de données plus important, ce qui implique de les gérer en stockage, accès et échange. FIDA imposera donc un renforcement significatif des mesures de cybersécurité. Les détenteurs et utilisateurs de données devront investir dans des systèmes de protections avancées tels que des systèmes de cryptage et de détection d’intrusion ou de violation des données.

Défi N°5 : Respecter le RGPD

La mise en œuvre de FIDA devra évidemment se faire dans le respect des exigences du RGPD (Règlement Général sur la Protection des Données).

Comme précédemment évoqué, les utilisateurs auront la possibilité d’accès et de gestion de leur consentement à l’usage de leurs données. Un défi sera de répercuter les autorisations et autres demandes vers les entités utilisatrices tout en assurant et surveillant cette conformité réglementaire en cascade.

Défi N°6 : Optimiser la chaîne d’exploitation de la donnée

Afin de pouvoir échanger, intégrer et tirer le meilleur parti des nouvelles données disponibles, les détenteurs et utilisateurs de données devront mettre à niveau leurs chaînes de valeur de données. Au-delà de l’intégration et de l’échange des données, il faudra aussi assurer leur qualité, leur fraîcheur, leur accessibilité, le tracking des différents traitements et usages. Sans négliger les systèmes de suppression et d’archivage.

A contrario de PSD2 ayant un volet permettant d’initier des paiements depuis les comptes des utilisateurs, FIDA ne permet à l’utilisateur que la consultation et la collecte des données. Cela entre donc davantage dans le domaine de l’analytique que du transactionnel.

Les institutions auront tout intérêt à mettre en place, quand ce n’est pas déjà le cas, des systèmes de gestion et exploitation modernisés tels que des datalakes, capables de gérer plusieurs formats d’ingestion et de stockage, selon l’usage et la temporalité nécessaire ou encore des hubs de données. L’ensemble de la chaîne devra prendre en compte des normes de sécurité et de respect des réglementations sur le stockage et l’usage des données.

Défi N°7 : Anticiper les évolutions de compétences et d’organisation

Les impacts ne seront pas seulement technologiques. En effet, l’ajout de nouveaux canaux de communication, avec de nouveaux types d’acteurs et de données, introduira une charge de support client et de maintenance.

Il faudra prendre en compte l’investissement humain, incluant les équipes de mise en place des solutions, la formation, l’intercommunication avec les différents acteurs, le déploiement, sans oublier la conduite du changement.

La gouvernance de données au sein des institutions devra également évoluer pour prendre en compte tant les nouvelles données que les nouvelles exigences précédemment citées. Ces évolutions pourraient conduire à un élargissement potentiel des rôles des « Chief Data Officer », « Data Protection Officer » ou encore à l’émergence de nouveaux rôles dédiés aux impacts de FIDA.

Défi N°8 : Tenir le rythme de mise en œuvre

Si FIDA sera mis en œuvre de manière progressive sur une période de 24 mois, le calendrier n’en reste pas moins ambitieux. Son respect entraînera une pression sur les institutions qui devront faire évoluer leurs organisations, leurs systèmes et leurs opérations en un temps limité.

D’autre part, FIDA sera théoriquement applicable simultanément dans tous les pays de l’UE, même si des ajustements nationaux pourraient être à prévoir. Ceci pourrait poser des difficultés pour les échanges de données entre pays selon l’interprétation de la réglementation dans les différentes juridictions.

En conclusion

FIDA représente un ensemble de défis et d’opportunités pour les départements IT et data de l’ensemble des acteurs financiers et assurantiels. Il appartient désormais à chacun de prendre le train de cette opportunité pour se moderniser et se différencier, optimisant ainsi les investissements qui seront engagés dans l’application de cette réglementation. Les institutions financières ayant déjà investi dans leur transformation digitale (particulièrement l’APIsation, la cybersécurité et les capacités analytiques) partent avec une longueur d’avance.

In fine, FIDA pourrait donc entraîner une modernisation des infrastructures et parcs applicatifs des différentes institutions, notamment sur les volets échanges et exploitation de la donnée ainsi que le renforcement de la cybersécurité.

Par ailleurs, il n’est pas exclu que de nouvelles niches de services s’ouvrent aussi bien pour les institutions financières que les fintechs. Les agrégateurs de données pourraient tirer leur épingle du jeu en se positionnant au centre des échanges de données tandis que des acteurs spécialisés pourraient apparaître, entre autres, dans la mise en œuvre des FDSS, la gestion et suivi des consentements, la gestion de la conformité… Avec FIDA, l’écosystème OpenFinance continue à se dessiner.