Avis institutionnel52024AB0029
Avis de la Banque centrale européenne du 30 août 2024 sur une proposition de règlement relatif à un cadre pour l’accès aux données financières et modifiant les règlements (UE) no 1093/2010, (UE) no 1094/2010, (UE) no 1095/2010 et (UE) 2022/2554 (CON/2024/29)
| CELEX | 52024AB0029 |
| Type | Avis institutionnel |
| Date | vendredi 30 août 2024 |
Résumé IA
Cet avis de la Banque centrale européenne (BCE) évalue la proposition de règlement visant à instaurer un cadre pour l'accès aux données financières (dites « open finance »). La BCE y formule des observations sur les conditions d'accès et de partage des données des clients dans le secteur financier, notamment en matière de protection des données, de sécurité et de supervision. Ce texte est crucial pour les professionnels du droit français car il impactera directement les obligations des établissements financiers et des prestataires de services en matière de gestion et de transmission des données clients.
Texte intégral
 | Journal officiel | FR Série C |
| C/2024/5923 | 2.10.2024 |
AVIS DE LA BANQUE CENTRALE EUROPÉENNE
du 30 août 2024
sur une proposition de règlement relatif à un cadre pour l’accès aux données financières et modifiant les règlements (UE) no 1093/2010, (UE) no 1094/2010, (UE) no 1095/2010 et (UE) 2022/2554
(CON/2024/29)
(C/2024/5923)
Introduction et fondement juridique
Le 28 juin 2023, la Commission européenne a adopté une proposition de règlement du Parlement européen et du Conseil relatif à un cadre pour l’accès aux données financières et modifiant les règlements (UE) no 1093/2010, (UE) no 1094/2010, (UE) no 1095/2010 et (UE) 2022/2554 (1) (ci-après la «proposition de règlement»). La Banque centrale européenne (BCE) estime que cette proposition de règlement relève de son domaine de compétence et a dès lors décidé, comme prévu à l’article 127, paragraphe 4, deuxième phrase, et à l’article 282, paragraphe 5, du traité sur le fonctionnement de l’Union européenne, d’exercer son droit d’adopter un avis de sa propre initiative sur ladite proposition de règlement.
La BCE a compétence pour émettre un avis en vertu de l’article 127, paragraphe 4, et de l’article 282, paragraphe 5, du traité sur le fonctionnement de l’Union européenne, étant donné que la proposition de règlement contient des dispositions ayant une incidence sur les missions de la BCE ayant trait au contrôle prudentiel des établissements de crédit en vertu de l’article 127, paragraphe 6, du traité. Conformément à l’article 17.5, première phrase, du règlement intérieur de la Banque centrale européenne, le présent avis a été adopté par le conseil des gouverneurs.
1. Observations générales
| 1.1. | La proposition de règlement est une composante importante de la stratégie européenne pour les données (2). La mise en place d’un cadre juridique solide pour la gestion du partage des données client dans le secteur financier au-delà des comptes de paiement vise à permettre aux clients, aux consommateurs individuels et aux entreprises d’avoir accès à des produits et services personnalisés fondés sur les données qui répondront mieux à leurs besoins spécifiques. La BCE salue l’objectif poursuivi par la proposition de règlement en ce qui concerne l’instauration d’un cadre pour l’accès aux données client et leur utilisation. Cela devrait promouvoir l’innovation, rendre les services financiers plus compétitifs et permettre aux clients d’exercer un meilleur contrôle sur leurs propres données financières. La proposition pourrait également contribuer au développement de l’union des marchés des capitaux, étant donné qu’elle encourage les prestataires à offrir un éventail plus large de services qui soient mieux adaptés aux besoins des clients et à réduire les frais alors que le marché devient plus concurrentiel. |
| 1.2. | La proposition de règlement adopte une approche axée sur le client en ce qu’elle prévoit des outils permettant de contrôler les données financières des clients. À cet égard, elle accorde aux clients le droit de demander que les détenteurs de données (3) partagent des données client avec les utilisateurs de données (4) aux fins et dans les conditions spécifiquement permises par les clients (5), garantissant ainsi que le partage des données intervient toujours après en avoir obtenu la permission du client. À cette fin, la proposition de règlement impose aux détenteurs de données l’obligation de donner un tel accès (6) et de fournir aux clients des tableaux de bord des permissions d’accès aux données financières (7) qui permettent à ces derniers de suivre et de gérer les permissions qu’ils ont accordées. Cet ensemble de règles, qui vise à renforcer la transparence et la confiance des clients vis-à-vis du processus de partage des données, est complété par des garanties supplémentaires. Parmi celles-ci figure le fait d’assurer un traitement responsable des données en limitant l’accès aux données client aux établissements financiers déjà agréés et aux prestataires de services d’information financière nouvellement agréés (8), qui constituent une nouvelle catégorie de prestataires de services (9). En outre, l’Autorité bancaire européenne et l’Autorité européenne des assurances et des pensions professionnelles, en coopération avec le comité européen de la protection des données, sont tenues d’élaborer des orientations ciblées établissant un périmètre d’utilisation des données qui protège le consommateur contre les traitements injustes ou les risques d’exclusion (10). Par ailleurs, la proposition de règlement impose la normalisation des données client et instaure des exigences applicables à la création et à la gouvernance des systèmes de partage des données financières afin de rationaliser le partage des données et de garantir des conditions de concurrence équitables grâce à l’élaboration d’un cadre contractuel régissant l’accès, la transparence, l’indemnisation, la responsabilité et le règlement des litiges. La proposition de règlement exige également des autorités compétentes qu’elles évaluent le respect de ces exigences en matière de gouvernance (11). |
| 1.3. | La BCE observe que les données client que les détenteurs de données sont tenus de fournir aux utilisateurs de données à la demande d’un client peuvent inclure des données relatives aux contrats de crédit hypothécaire, aux prêts et aux comptes, à l’exception des comptes de paiement, ainsi que des données relevant d’une évaluation de la solvabilité d’une entreprise qui sont collectées dans le cadre d’une procédure de demande de prêt ou d’une demande de notation de crédit (12). Les données collectées en vertu du règlement (UE) 2016/867 de la Banque centrale européenne (BCE/2016/13) (13) (ci-après le «règlement AnaCredit») qui ont été partagées avec les établissements de crédit au moyen du mécanisme de boucle d’information en application de l’article 11 du règlement AnaCredit ne doivent plus être partagées avec les utilisateurs de données sur le fondement des articles 4 et 5 de la proposition de règlement. Un tel partage serait contraire à l’article 11, paragraphe 1, du règlement AnaCredit, qui restreint l’utilisation de ces données exclusivement à la gestion du risque de crédit par les établissements de crédit et à l’amélioration de la qualité des informations sur le crédit, et interdit expressément leur diffusion à d’autres parties, sauf dans certaines circonstances limitées. Par conséquent, la BCE apprécierait que la proposition de règlement précise explicitement que les données partagées avec les établissements de crédit au moyen du mécanisme de boucle d’information en application de l’article 11, paragraphe 1, du règlement AnaCredit sont exclues du partage avec des clients ou des utilisateurs de données prévu par les articles 4 et 5 de la proposition de règlement. |
| 1.4. | La proposition de règlement exige des États membres qu’ils désignent les autorités compétentes chargées d’exercer les fonctions et missions qui y sont prévues (14). En ce qui concerne les établissements financiers, la proposition de règlement désigne comme autorités compétentes celles visées à l’article 46 du règlement (UE) 2022/2554 du Parlement européen et du Conseil (15) sur la résilience opérationnelle numérique du secteur financier (ci-après le «règlement DORA») (16). Les autorités compétentes doivent veiller au respect de la proposition de règlement conformément aux pouvoirs conférés par celle-ci et par les actes juridiques énumérés à l’article 46 du règlement DORA (17), qui prévoit que le respect dudit règlement doit être assuré, pour les établissements de crédit classés comme importants conformément à l’article 6, paragraphe 4, du règlement (UE) no 1024/2013 du Conseil (18) (ci-après le «règlement MSU»), par la BCE, conformément aux pouvoirs et missions confiés par le règlement MSU (19). Il est essentiel de noter que le règlement DORA se concentre sur la résilience opérationnelle tandis que la proposition de règlement met principalement l’accent sur la protection des consommateurs ; or, cette différence peut nécessiter des compétences différentes. |
| 1.5. | Dans ce contexte, il convient de clarifier le rôle de la BCE dans le cadre de la proposition de règlement en ce qui concerne sa compétence en matière de surveillance prudentielle (voir paragraphe 2). |
2. Clarification concernant les compétences de surveillance prudentielle de la BCE
| 2.1. | La proposition de règlement prévoit que la BCE soit chargée de surveiller le respect, par les établissements de crédit importants, de ladite proposition de règlement. La BCE craint que la proposition de règlement lui attribue des missions de surveillance qui ne sont pas de nature prudentielle, mais qui concernent plutôt la protection des consommateurs. Cela serait incompatible avec le fait que le Conseil, à l’unanimité, ne peut confier à la BCE que des missions spécifiques ayant trait au contrôle prudentiel en vertu de l’article 127, paragraphe 6, du traité. En conséquence, le règlement MSU confie à la BCE, à des fins de surveillance prudentielle, la mission de veiller au respect, par les établissements de crédit importants, de tous les actes pertinents de l’Union qui imposent aux établissements de crédit des exigences en vertu desquelles ceux-ci doivent disposer, entre autres, de dispositifs solides en matière de processus de gestion des risques et de mécanismes de contrôle interne (20). Le rôle de surveillance prudentielle de la BCE à cet égard se limite à veiller à ce que les établissements de crédit mettent en œuvre des politiques et des processus permettant d’évaluer et de gérer leur exposition aux risques prudentiels, y compris les risques liés aux différents aspects des modèles d’entreprise, de la gouvernance et des risques opérationnels des banques. Ces missions sont confiées à la BCE afin de garantir la sécurité et la solidité des établissements de crédit ainsi que la stabilité du système financier (21). La BCE ne peut donc être considérée comme une autorité compétente que dans la mesure où cela est nécessaire à l’accomplissement des missions qui lui sont confiées en vertu du traité et du règlement MSU (22). |
| 2.2. | L’objectif poursuivi par la proposition de règlement est la protection des consommateurs, et non celui de garantir la sécurité et la solidité des établissements de crédit. La proposition de règlement poursuit cet objectif 1) en fixant des règles relatives au partage des données financières des clients et à l’accès à celles-ci et 2) en s’efforçant de veiller à ce que ces règles répondent aux exigences et obligations nécessaires pour renforcer le contrôle et la transparence. Par conséquent, la surveillance du respect, par les établissements de crédit importants, des exigences énoncées dans la proposition de règlement ne relève pas des compétences de surveillance prudentielle de la BCE définies par le traité ou le règlement MSU. Cette conclusion est cohérente avec le considérant 28 du règlement MSU, qui précise que la protection des consommateurs ne fait pas partie des missions de surveillance prudentielle confiées à la BCE et reste du ressort des autorités nationales. Il convient donc que le texte de la proposition de règlement précise sans ambiguïté que la BCE n’est pas désignée en tant qu’autorité compétente à laquelle seraient confiées des missions relatives à la protection des consommateurs (23), y compris en tant qu’autorité de surveillance prudentielle sur base consolidée (24). |
| 2.3. | Néanmoins, la BCE souligne la nécessité de prévoir une base juridique claire afin de garantir la coopération (25), y compris la facilitation des échanges d’informations pertinentes entre la BCE et les autorités compétentes désignées en vertu de la proposition de règlement. Cela va dans le sens du considérant 29 du règlement MSU, qui précise que la BCE devrait, le cas échéant, coopérer pleinement avec les autorités nationales qui ont pour mission d’assurer un niveau élevé de protection des consommateurs. |
| 2.4. | Sur ce fondement, la BCE suggère de modifier l’article 3, paragraphe 4, l’article 17, paragraphe 4, l’article 18, paragraphe 1, point b), v), et l’article 26, paragraphe 1, de la proposition de règlement afin de garantir que les compétences de la BCE prévues par ladite proposition de règlement correspondent aux missions qui lui sont confiées par le traité et le règlement MSU. Lorsque la BCE recommande d’apporter une modification à la proposition de règlement, des suggestions de rédaction précises, accompagnées d’un texte explicatif, sont formulées dans un document de travail technique distinct. Le document de travail technique peut être consulté en anglais sur le site internet EUR-Lex. |
Fait à Francfort-sur-le-Main, le 30 août 2024.
La présidente de la BCE
Christine LAGARDE
(1) COM(2023) 360 final.
(2) COM(2020) 66 final.
(3) Voir l’article 3, point 5), de la proposition de règlement.
(4) Voir l’article 3, point 6), de la proposition de règlement.
(5) Voir l’article 3, point 2), et l’article 5 de la proposition de règlement.
(6) Voir les articles 4 et 5 de la proposition de règlement.
(7) Voir l’article 8 de la proposition de règlement.
(8) Voir l’article 6 de la proposition de règlement.
(9) Voir les articles 12 et 14 de la proposition de règlement.
(10) Voir l’article 7 de la proposition de règlement.
(11) Voir les articles 9 et 10 de la proposition de règlement.
(12) Voir l’article 2, paragraphe 1, points a) et f), et les articles 4 et 5 de la proposition de règlement.
(13) Règlement (UE) 2016/867 de la Banque centrale européenne du 18 mai 2016 relatif à la collecte de données granulaires sur le crédit et le risque de crédit (BCE/2016/13) (JO L 144 du 1.6.2016, p. 44).
(14) Voir l’article 17, paragraphe 1, de la proposition de règlement.
(15) Règlement (UE) 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier et modifiant les règlements (CE) no 1060/2009, (UE) no 648/2012, (UE) no 600/2014, (UE) no 909/2014 et (UE) 2016/1011 (JO L 333 du 27.12.2022, p. 1).
(16) Voir l’article 17, paragraphe 4, de la proposition de règlement.
(17) Voir l’article 17, paragraphe 4, de la proposition de règlement.
(18) Règlement (UE) no 1024/2013 du Conseil du 15 octobre 2013 confiant à la Banque centrale européenne des missions spécifiques ayant trait aux politiques en matière de surveillance prudentielle des établissements de crédit (JO L 287 du 29.10.2013, p. 63).
(19) Voir l’article 46, point a), du règlement DORA.
(20) Voir l’article 4, paragraphe 1, point e), du règlement MSU.
(21) Voir le considérant 30 du règlement MSU.
(22) L’observation selon laquelle seules des missions de surveillance prudentielle peuvent être confiées à la BCE n’exclut pas la possibilité, pour les États membres, de confier aux autorités de surveillance prudentielle nationales les missions de surveillance prudentielle énoncées dans la proposition de règlement.
(23) Voir le paragraphe 2 de l’avis de la Banque centrale européenne du 29 décembre 2021 sur une proposition de règlement établissant des règles harmonisées concernant l’intelligence artificielle (CON/2021/40) (JO C 115 du 11.3.2022, p. 5).
(24) Voir l’article 18, paragraphe 1, point b), v), de la proposition de règlement.
(25) Voir le paragraphe 3 de l’avis de la Banque centrale européenne du 16 février 2022 sur une proposition de règlement instituant l’Autorité de lutte contre le blanchiment de capitaux et le financement du terrorisme (CON/2022/4) (JO C 210 du 25.5.2022, p. 5).
ELI: http://data.europa.eu/eli/C/2024/5923/oj
ISSN 1977-0936 (electronic edition)
Documents similaires
Avis institutionnel52024AS114781
Autorisation des aides d’État dans le cadre des dispositions des articles 107 et 108 du traité sur le fonctionnement de l’Union européenne — Cas à l’égard desquels la Commission ne soulève pas d’objections — SA.114781
30/12/2024
Avis institutionnel52024AS114943
Autorisation des aides d’État dans le cadre des dispositions des articles 107 et 108 du traité sur le fonctionnement de l’Union européenne — Cas à l’égard desquels la Commission ne soulève pas d’objections — SA.114943
30/12/2024
Avis institutionnel52024AS116252
Autorisation des aides d’État dans le cadre des dispositions des articles 107 et 108 du traité sur le fonctionnement de l’Union européenne — Cas à l’égard desquels la Commission ne soulève pas d’objections — SA.116252
30/12/2024
Avis institutionnel52024AB0042
Avis institutionnel — 52024AB0042
30/12/2024