Tous les articles

FIDA (Financial Data Access) : Comment rester conforme ?

January 27, 2025
Le Financial Data Access (FIDA) est un nouveau cadre réglementaire qui transforme l'accès aux données financières en Europe, il entre en vigueur cette année.

C'est quoi FIDA ? 

La Commission Européenne a présenté le 28 juin 2023 le Financial Data Access (FIDA), un nouveau cadre réglementaire transformant l'accès aux données financières en Europe. Cette réglementation étend significativement le périmètre de la DSP2 en imposant le partage des données au-delà des seuls services de paiement.

Le FIDA couvre désormais un large spectre de données financières : produits d'épargne, contrats d'assurance, investissements et crypto-actifs. Cette extension du périmètre s'accompagne d'obligations précises pour les institutions financières, notamment en matière de mise à disposition des données et de compensation financière.

Cette initiative s'inscrit dans la stratégie de finance numérique de l'Union Européenne, en coordination avec le Data Act. Pour les établissements financiers, elle représente à la fois un enjeu majeur de conformité et une opportunité stratégique de développement dans l'écosystème de l'Open Finance.

Qui est concerné par FIDA ?

Le Financial Data Access (FIDA) est un règlement qui étend les obligations de partage des données financières en Europe, allant bien au-delà du cadre actuel de la DSP2.

Son champ d'application s’étend au :

  • Produits d'épargne
  • Contrats d'assurance
  • Investissements
  • Crypto-actifs

FIDA s'inscrit dans la stratégie européenne de finance numérique aux côtés du Data Act. Il vise à renforcer l'innovation et la concurrence dans le secteur financier tout en garantissant la protection des consommateurs.

Entités concernées et spécificités 

Établissements financiers traditionnels :

  • Banques : ensemble des données de compte et transactions
  • Assurances : données des contrats et sinistres
  • Sociétés d'investissement : positions et historique des portefeuille

Nouveaux acteurs :

  • Fintechs : intégration des APIs obligatoire
  • Plateformes de crypto-actifs : reporting spécifique
  • Prestataires de services de paiement : accès temps réel

Quelles sont les obligations de FIDA ? 

Les clients doivent pouvoir accéder à toutes leurs données personnelles détenues par les institutions financières :

  • Cela inclut les informations qu'ils ont fournies (coordonnées, revenus, situation familiale...)
  • Également les données générées lors de leurs interactions (historique des transactions, communications...)
  • Ainsi que les détails de leurs contrats et produits financiers souscrits

Les clients peuvent autoriser des tiers à accéder à leurs données financières :

  • Cela concerne la plupart des produits financiers : comptes bancaires, assurances, investissements, cryptomonnaies
  • Seules les données de santé et d'évaluation de crédit sont exclues pour éviter les discriminations

Un tableau de bord doit permettre aux clients de gérer leurs autorisations :

  • Ils peuvent choisir exactement quelles données partager avec chaque tiers
  • Les accès peuvent être révoqués à tout moment

Système de partage sécurisé :

  • Les institutions financières doivent utiliser des interfaces techniques standardisées (APIs)
  • L'authentification forte est obligatoire, comme pour les paiements en ligne (voir DSP2/DSP3)
  • Les données sont chiffrées lors des transferts
  • Les spécifications techniques seront publiques pour permettre l'interopérabilité

Surveillance des accès :

  • Tous les accès aux données sont surveillés en temps réel
  • Chaque consultation ou transfert est enregistré
  • Des alertes sont générées en cas d'activité suspecte (accès multiples, volumes anormaux)

Obligations de reporting :

  • Les institutions doivent régulièrement rapporter aux autorités (ABE, EIOPA)
  • Tous les incidents de sécurité doivent être documentés
  • Un registre des tiers autorisés doit être maintenu à jour
  • Des statistiques d'utilisation doivent être produites régulièrement

Le non-respect de ces obligations expose les entités concernées à des sanctions significatives.

Sans exhaustivité, on retrouve : 

Des sanctions financières :

  • Maximum 5% du chiffre d'affaires annuel mondial pour les infractions graves
  • Minimum 500 000 euros d'amende

Des sanctions opérationnelles :

  • Suspension ou arrêt forcé des activités
  • Retrait de l'agrément FDSS
  • Interdiction d'exercer

Les Financial Data Sharing Schemes (FDSS) sont des cadres contractuels obligatoires introduits par FIDA pour régir le partage des données financières. Ces schémas réunissent détenteurs de données, utilisateurs et organisations de consommateurs, et définissent les règles communes de transparence, de gestion des autorisations, de rémunération et de responsabilité. Chaque acteur financier doit adhérer à au moins un FDSS dans les 18 mois suivant l'entrée en vigueur de FIDA.

Des sanctions réputationnelles 

  • Publication obligatoire des sanctions (name & shame)
  • Mise sous surveillance renforcée

Comment rester conforme avec la réglementation FIDA  ?

  1. Créer un espace de contrôle client
  • Développer une interface permettant aux clients de suivre et gérer leurs autorisations de partage de données
  • Mettre en place des options simples pour activer/désactiver le partage d'informations

  1. Optimiser la protection des données
  • Établir des mesures de sécurité robustes : comme le chiffrage et l'authentification forte
  • Utiliser les données uniquement selon les conditions acceptées par le client
  • Mettre en place des processus de suppression des données devenues inutiles

Prochaines étapes de la mise en place de FIDA 

  • Vote en plénière au Parlement européen pour confirmer le mandat
  • Négociations en trilogue prévues pour le premier trimestre 2025
  • Début de la mise en œuvre au troisième trimestre 2025

Les entreprises financières doivent commencer à se préparer dès maintenant, car l'adaptation au FIDA pourrait entraîner des coûts importants et nécessiter des changements significatifs dans leurs systèmes et processus.
ShareID sécurise le partage de données financières exigé par FIDA grâce à son authentification forte MFA 3.0 et sa technologie Zero Knowledge Proof. Nos solutions ne stockent aucune données et dispose d'une technologie propriétaire de chiffrage avancé av, la solution permet un contrôle précis des accès tout en garantissant la conformité réglementaire.
N'hésitez pas à nous contacter pour plus d’informations.

FIDA (Financial Data Access) : Comment rester conforme ?

RéglementationExigence cléRéponse ShareIDRésultat pour vous
DSP2 – Directive (UE) 2015/2366 + RTS SCA (UE 2018/389) Source DSP2 : Directive (UE) 2015/2366Authentification forte du client (SCA) obligatoire (art. 97) avec lien dynamique (art. 5 RTS) et indépendance des facteurs (art. 9 RTS).- Full IDV : authentification du document d’identité + biométrie (détection du vivant) - MFA 3.0: Ré-authentification forte basée sur l’identité Full IDV + MFA 3.0Conformité immédiate SCA ; fluidité pour l’utilisateur, sécurité renforcée.
DSP3 / Payment Services Regulation (projet) Source RTS SCA : Règlement délégué (UE) 2018/389 Entrée en vigueur prévue en 2025/ 2026.Articles 85–89 : consolidation de la SCA, règles d’accessibilité, clarification des exemptions.- Full IDV : authentification du document d’identité + biométrie (détection du vivant) - MFA 3.0: Ré-authentification forte basée sur l’identité Solution déjà alignée sur les parcours biométriques & exemptions. MFA 3.0Anticipez les évolutions futures sans refonte lourde.
DORA – Règlement (UE) 2022/2554 Source DORA : Règlement (UE) 2022/2554Authentification forte pour protéger les systèmes et les données critiques (art. 9(4)(d)), encadrement strict des prestataires de Technologie de l’information et de la communication (art. 28–30).- MFA 3.0: Ré-authentification forte basée sur l’identité. Intégrable via SDK/API (iOS, Android, Web), traçabilité complète. MFA 3.0Sécurisation des systèmes d’informations critiques, conformité démontrable aux superviseurs.
eIDAS (UE 910/2014) + implémentation 2015/1502 Source eIDAS (2014) : Règlement (UE) 910/2014Niveaux simple / substantiel / élevé ; multi-facteurs encouragés pour les niveaux substantiel et élevé.Authentification des documents + biométrie (détection du vivant). Full IDVValeur probante proche d’un contrôle présentiel.
eIDAS 2 – Règlement (UE) 2024/1183 Source eIDAS 2 : Règlement (UE) 2024/1183Les EUDI Wallets devront fonctionner à un niveau d’assurance élevé, avec partage sélectif d’attributs.- MFA 3.0: Ré-authentification forte basée sur l’identité Intégrable via SDK/API (iOS, Android, Web), traçabilité complète. MFA 3.0Intégration fluide des futurs portefeuilles européens.
MiCA – Règlement (UE) 2023/1114 Source MiCA : Règlement (UE) 2023/1114Les prestataires de services sur crypto-actifs doivent appliquer les obligations KYC/AML (Directive 2015/849) ; art. 76 impose CDD (renforcement de la vigilance client) renforcé pour certaines plateformes.Authentification des documents + biométrie (détection du vivant) = anti-deepfake et anti-spoofing. Doc IDV ou Full IDVRéduction drastique des fraudes, conformité crypto-AML.
ETSI TS 119 461 (V2.1.1, 2025) Source ETSI TS 119 461 : Norme européenneVérification d’identité à distance : 5 étapes (initiation → collecte → validation → liaison → résultat). Liveness et anti-spoofing obligatoires pour les parcours à distance.- Enrôlement complet : authentification des documents + Biométrie (détection du vivant) - Algorithmes entraînés sur une base de données de vrais et de faux documents de la Gendarmerie Nationale. Full IDVEnrôlement KYC robuste, valeur probante reconnue.
FIDA – Financial Data Access (projet) Source FIDA (proposition) : Commission européenneConsentement explicite, traçable et révocable via des tableaux de bord.- MFA 3.0: Authentification forte basée sur l’identité au moment du consentement + réauthentification fluide avec un simple sourire. MFA 3.0Accès aux données conforme et centré utilisateur.
RGPD – Règlement (UE) 2016/679 Source RGPD : Règlement (UE) 2016/679Durée de maintien de données chez ShareID paramétrable. Aucun stockage biométrique : hachages homomorphiques brevetés , ISO 27001.Image de marque, risque réglementairejuridique réduit, confiance accrue des régulateurs et clients.



← Tous les articles
Notre newsletter - La Conscience Numérique

Chaque mois, recevez conseils et astuces pour vous protéger contre la fraude en ligne.

Paris
San Francisco
Casablanca
Copyright © 2025 ShareID, Inc. All Rights Reserved.