Au Luxembourg, l’enjeu est important : la place financière réunit un écosystème bancaire international, une industrie de l’assurance largement transfrontalière et, surtout, une position de premier plan dans la domiciliation et la distribution de fonds d’investissement.

• FiDA : un mécanisme reposant sur un triangle opérationnel

Le triangle opérationnel s’articule autour de trois piliers. D’une part, le client, qui sollicite l’accès à ses données et en autorise, ou révoque, le partage avec des tiers. D’autre part, le détenteur des données (« Data Holder »), c’est-à-dire l’institution financière qui collecte, conserve et traite les données du client, et qui est tenue de les mettre à disposition conformément aux règles applicables. Enfin, l’utilisateur des données (« Data User »), à savoir le tiers qui reçoit ces données sur instruction du client et doit se conformer à des obligations strictes en matière d’usage, de sécurité et de limitation des finalités d’utilisation.

• FiDA : le client au centre de l’autorisation de l’accès aux données

L’un des volets les plus opérationnels de la proposition de règlement réside dans la mise en place d’un tableau de bord des autorisations d’accès aux données financières. Ce dispositif vise à permettre au client de gérer effectivement ses autorisations (consultation, administration, révocation), afin de rendre le contrôle tangible au client et de limiter les situations de « consentement opaque ».

Autrement dit, le « Data Holder » devra mettre à la disposition du client un tableau de bord offrant une vue d’ensemble des autorisations, lui permettant de les gérer, de les approuver et de les révoquer. Afin que le client puisse se prononcer en connaissance de cause, ce tableau de bord devra fournir des informations explicites sur le tiers, la nature des données concernées, la finalité de la demande, la durée de l’autorisation ainsi que le statut de l’autorisation.

• FiDA : un schéma de partage de données standardisé (« data-sharing schemes »)

En un mot : industrialisation. FiDA structure la standardisation via des systèmes de partage (« schemes »), en définissant notamment les standards de données, les API, les modalités de gouvernance, les règles de responsabilité, ainsi que des mécanismes de règlement des litiges.

• FiDA et la place financière luxembourgeoise

Trois impacts transverses communs à l’ensemble des secteurs de la place financière :

• Data / IT : les données financières deviennent une ressource “exposable” à des tiers autorisés ; elles doivent donc être pilotées comme un produit. Cela implique de bâtir et d’exploiter des API industrialisées, d’assurer une traçabilité bout-en-bout (accès, échanges, preuves) et d’élever durablement la qualité des données (référentiels, cohérence, disponibilité).
• Expérience client : l’avantage concurrentiel se déplacera vers la simplicité et la lisibilité du contrôle accordé au client. Le principal enjeu est de déployer un tableau de bord des permissions et une gestion du consentement réellement compréhensible et réversible, y compris lorsque des sous-traitants ou partenaires opèrent une partie du parcours (distribution, gestion déléguée, outsourcing IT).
• Marché / écosystème : les data-sharing schemes deviendront la charpente du partage (standards, interopérabilité, modalités de coûts, règles de responsabilité). Le défi pour les acteurs sera d’en maîtriser la gouvernance, de construire de nouveaux partenariats pertinents, et de s’adapter à une comparabilité accrue des offres et des services.

Pour les sociétés de gestion et gestionnaires d’actifs, l’enjeu principal portera sur la qualité et la structuration des données d’investissement, avec la mise en place de référentiels robustes (positions, transactions, frais, documentation, caractéristiques produits, reporting, et, selon le périmètre, informations liées aux parcours d’adéquation/appropriation). Elles devront rendre ces données interopérables et facilement consommables via des API standardisées.

FiDA peut leur apporter des bénéfices concrets : amélioration de l’expérience client, conseils plus pertinents et réduction des frictions tout au long des parcours. En contrepartie, l’ouverture des données accroît la comparabilité des offres, ce qui peut intensifier la pression sur la différenciation et les marges, en facilitant la substitution entre acteurs.

Pour les banques, FiDA accélère l’évolution vers un modèle “plateforme”, articulé autour d’API, de tableaux de bord de permissions et de mécanismes de preuve. En tant que data holders parmi les plus sollicités, elles devront industrialiser des API robustes, mettre en place une journalisation complète (traçabilité des accès et des échanges) et garantir un dashboard client réellement opérationnel et simple d’usage.

Par ailleurs, FiDA favorise l’émergence d’expériences de type “super-agrégateur”, susceptibles de déplacer la relation client vers des acteurs tiers. Dans ce contexte, les banques devront arbitrer entre trois postures stratégiques :

• Défensive : sécuriser la relation client et enrichir l’expérience utilisateur pour rester le point d’entrée principal ;
• Coopérative : nouer des partenariats et distribuer leurs services au sein de plateformes ;
• Offensive : devenir elles-mêmes data users afin de reconstituer une vision multi-banque, sous réserve de l’autorisation explicite du client.

Pour les assureurs, FiDA peut simplifier et accélérer plusieurs parcours, notamment en IARD (assurance dommages aux biens) : souscription (moins de ressaisies et de pièces redondantes), gestion du contrat et certains processus de sinistres. En parallèle, la proposition insiste sur la nécessité de prévenir les risques d’exclusion financière : certaines catégories de données, en particulier les plus sensibles, sont encadrées plus strictement afin d’éviter qu’un partage accru n’alimente une segmentation excessive pouvant conduire à l’exclusion.

L’accès à davantage de données et une meilleure portabilité peuvent aussi intensifier la concurrence, avec une pression accrue sur les prix et les pratiques de segmentation. FiDA encadre toutefois l’usage des données par des finalités définies, des permissions explicites et des exigences de non-discrimination, notamment en interdisant de pénaliser un client du seul fait qu’il refuse de partager. Cela oblige les assureurs à renforcer la gouvernance de leurs modèles de décision (tarification, souscription) et de leurs pratiques commerciales.

Enfin, la dimension “écosystème” devient centrale : les assureurs devront structurer davantage leurs relations avec courtiers, comparateurs et plateformes (souvent data users), tout en maîtrisant la qualité des données, la responsabilité en cas d’incident, les modalités d’indemnisation et la gestion des litiges — des sujets qui se cristalliseront largement au sein des data-sharing schemes.

En conclusion, FiDA (COM (2023) 360) ne consiste pas simplement à « ouvrir » des données. Pour les banques, l’enjeu majeur est l’évolution vers une logique de plateforme et la compétition pour conserver la maîtrise de l’interface client. Pour les assureurs, les gains d’efficacité attendus s’accompagnent d’une exigence élevée de prévention de l’exclusion et d’usage équitable des données. Pour les sociétés de gestion, le centre de gravité se déplace vers la standardisation, la portabilité des données patrimoniales et la gouvernance des standards qui structureront l’écosystème.

Les acteurs de la place devront aborder FiDA non pas comme un simple projet d’implémentation, mais comme un programme structurant articulé autour de trois piliers : Réglementaire en assurant la conformité et notamment via une gouvernance claire ; Technologique en déployant les capacités nécessaires (notamment API et dashboard) et en intégrant dès l’origine les exigences de sécurité des systèmes et de protection des données ; et Stratégique en pilotant les impacts concurrentiels, les partenariats et le positionnement sur la chaîne de valeur.

Enfin, le rôle des régulateurs (CSSF et CAA), tout comme celui des associations professionnelles — notamment l’ABBL, l’ALFI et l’ACA — sera déterminant pour garantir une mise en œuvre standardisée et harmonisée. Leur action est clé pour aligner les pratiques en matière de gouvernance et gestion des données, de choix technologiques, de flux de communication et d’interfaces front-end, et pour éviter une approche fragmentée qui brouillerait la compréhension des clients quant à leurs droits et à l’exercice effectif de ces derniers.