De l'Open Banking vers l'Open Finance :
quels enjeux et opportunités ? 


L'Open Finance est déjà une réalité, avec des bénéfices tant pour les clients que pour les acteurs financiers, mais avec des cas d'usage encore limités et un enjeu majeur en termes de protection des données.

La règlementation fait évoluer l’Open Banking en Open Finance : vers la libre circulation des données financières ?

Les différentes industries sont entrées dans l’ère de la plateformisation avec l’apparition de « pure players » digitaux (on pense aux plateformes type Booking dans le secteur hôtelier, ou Amazon pour le retail…) qui ont bouleversé le paysage concurrentiel, les usages des consommateurs et ont poussé les acteurs traditionnels à s’adapter. La banque n’y fait pas exception : c’est ce que l’on appelle l’Open Banking. La plateformisation des banques c’est la possibilité, via des interfaces applicatives (API), d’intégrer des offres partenaires à travers ses canaux, de manière fluide et en temps réel (on parle alors de « bank-as-a-platform ») ou à l’inverse, de distribuer des offres et services à travers des plateformes tierces (on parle alors de « bank-as-a-service »).

Initialement, et sous l’effet de la règlementation, l’Open Banking ne s’applique qu’aux données de paiement (transactions cartes, virements, …). Ainsi la Directive des Services de Paiement (DSP2) permet, sous réserve d’acceptation du client, l’accès à ses données de paiement de manière sécurisée par des acteurs tiers agréées (les Third Party Providers). Cela a permis de développer des usages client plus sécurisés en matière d’agrégation des comptes bancaires ou d’initiation de paiement.

L’Open Finance au sens de la règlementation en est le prolongement et vise à permettre de sécuriser et valoriser les échanges de données financières au-delà des données de paiement  : données d’assurance, d’épargne, d’investissement… Pour accélérer la mise en œuvre de cet échange des données pour l’ensemble des services financiers, la Commission Européenne propose un nouveau cadre réglementaire, le Financial Data Access Act (FIDA), contraignant pour les établissements financiers tout en laissant la décision du partage de ses données à la main des consommateurs, des clients, des citoyens.

Le futur règlement FIDA introduit en particulier les principes suivants :

  • Une définition très large des établissements financiers et des produits concernés (épargne, crédit, assurance, retraite, crypto-asset, crowdfunding…)
  • Une répartition des rôles entre les détenteurs des données (data holder) que sontles établissements financiers et les utilisateurs des données (data user) qui peuvent être les établissements eux-mêmes ou de nouveaux acteurs, des fintechs… Un nouveau type d’acteur est d’ailleurs introduit dans ce cadre réglementaire  : les fournisseurs de services d’information financière qui pourront collecter et agréger les informations financières des clients à l’image des agrégateurs de comptes de paiement de la DSP2.
  • Une standardisation des données échangées via des APIs et une gouvernance obligatoire de ce partage des données via des schemes, à savoir des associations de détenteurs de données, d’utilisateurs de données et de représentants des clients
  • Une répartition claire des responsabilités entre les détenteurs des données, les utilisateurs des données et les clients, ainsi que des procédures de gestion des litiges
  • Des incitations au partage des données via des mécanismes de compensation des coûts de traitement et de mise à disposition des données entre détenteurs et utilisateurs des données

Ce nouveau cadre réglementaire doit en particulier assurer un partage sécurisé des données dans l’intérêt des clients et répondre à des cas d’usage représentatifs à l’échelle européenne et capable de valoriser de vrais business models.

En fait, l'Open Finance est déjà une réalité, avec des bénéfices tant pour les clients que pour les acteurs financiers, mais avec des cas d'usage encore limités


Comme souvent, les nouvelles offres préexistent à la règlementation, qui vient les encadrer. Ainsi, BNP Paribas a rapidement pris l’initiative de développer des offres de services à valeur ajoutée pour ses clients avec le partage sécurisé des données nécessaires et avec des partenaires dument sélectionnés dans le respect de la réglementation déjà en vigueur. A ce jour, les initiatives les plus marquantes concernent des offres dites “beyond banking” de partenaires avec lesquels nous partageons certaines données client, lorsqu’ils donnent leur consentement pour ce faire, pour une meilleure expérience intégrée dans nos canaux. Nous avons par exemple un partenariat avec Papernest en France et en Italie, qui s’inscrit parfaitement dans nos parcours de gestion quotidienne des finances de nos clients pour les aider gratuitement à réduire la charge des factures de la maison (contrat d’énergie, internet, mobile..). Les retours client sont très positifs et ce partenariat est un véritable motif d’engagement de nos clients mais aussi de nos conseillers.

Nous avons également des services de « Personal ou Business Financial Management » (PFM / BFM) qui permettent d’accompagner nos clients dans leurs finances au quotidien, y compris avec des données d’autres établissements financiers pour adopter un point de vue holistique.

Les opportunités offertes par l’Open Finance permettent aussi d’améliorer l’octroi de crédit personnel, de manière complètement digitalisée. Nous avons développé ces services dans les géographies dans lesquelles nos entités Personal Finance sont présentes. Par exemple en Pologne, grâce aux données partagées par les clients, nous identifions les sources de revenus, calculons la capacité d’emprunt réelle instantanément et pouvons rendre une décision automatique 24/7, ce qui est particulièrement utile pour offrir des solutions de financement aux particuliers sur les sites de e-commerce.


Un enjeu majeur : la protection des données des clients


Tout en ouvrant de nouvelles opportunités de services, l’Open Finance va avoir de fait un impact majeur pour les établissements financiers - et leurs clients - en matière de protection des données.

En effet, hors DPS2 chaque établissement détenteur de données pouvait ouvrir le partage de données à des tiers, des partenaires choisis, en ayant un contrôle de bout en bout des données concernées, de la finalité et des différents utilisateurs de ces données.

Demain, FIDA amplifie la problématique de la protection des données introduite par la DSP2. Le partage des données sera rendu obligatoire à la simple demande d’un client et pourrait permettre la circulation de données potentiellement sensibles en matière de protection de la vie privée. La démultiplication des échanges de toutes ces données peut exposer les clients à de nouveaux risques de fraude ou de manipulation malveillantes (sollicitations commerciales non consenties, usurpation d’identité...).

La réglementation FIDA veut anticiper ces risques avec la mise en place d’outils comme :

  • des tableaux de bord d’autorisation d’accès aux données à la main des clients,
  • l’enregistrement et la supervision des différents services,
  • l’application de règles communes de sécurité et de résilience opérationnelle (DORA)…

Encore faut-il que toutes ces mesures soient applicables à l’identique à tous les acteurs impliqués et quelle que soit leur taille (en matière de sécurité, la protection des données est d’autant plus complexe que l’acteur est limité dans ses moyens et ses compétences par sa taille).

Cette généralisation du partage obligatoire et règlementaire des données financières pourrait donc avoir un coût significatif en matière de cybersécurité et de gestion des litiges au détriment de l’innovation et du modèle économique qu’elle souhaite promouvoir. Elle pourrait également dégrader in fine la confiance des clients vis-à-vis de leur établissement financier en cas de fraude.


De l'intérêt de garder un cadre ouvert afin de ne pas bloquer le partage des données et favoriser le développement d'offres adaptées aux besoins des clients et des partenaires


Les retours d’expérience de l’Open Banking et de la règlementation DSP2 nous apprennent au moins deux choses. En premier lieu, le coût élevé et la forte complexité pour mettre en œuvre ces critères encadrant de nouveaux services, que la règlementation a voulu englober de manière générique. La véritable valeur du partage des données financière doit toujours être appréciée au cas par cas en fonction de la clientèle concernée (particuliers, entreprises…) et des bénéfices que cela va lui apporter, du service concerné, de la capacité à garantir un modèle économique viable – au sein d’un calendrier adapté. Ainsi, l’Open Finance doit prendre en considération les spécificités de chaque cas d’usage et même si une réglementation sectorielle peut renforcer et consolider ces initiatives, elle doit laisser suffisamment de marge de manœuvre aux établissements financiers et aux différentes parties prenantes pour leur mise en œuvre.

En second lieu, l’Open Banking et la DSP2 n’ont pas vraiment permis de confirmer, presque 10 ans après leur mise en œuvre, l’émergence de nouveaux leaders européens ni de nouveaux services pan-européens. Certains acteurs ont même été, a contrario, absorbés par des Big Techs non européens. Or l’enjeu de l’Open Finance étant celui des données financières - leur accessibilité, leur protection…- se pose donc la question de la souveraineté du traitement de ces données. L’Open Finance doit profiter aux clients et aux citoyens mais aussi aux acteurs européens de la finance et contribuer à la souveraineté financière européenne afin d’avoir la capacité d’apporter une véritable proposition par rapport à des acteurs non financiers / non européens, qui adressent déjà une part très significative de la population, et qui sont dotés de puissantes technologies de traitement des données (Data Mining, Machine Learning, IA, …). Ainsi, des big techs pourraient à moindre coût se positionner par exemple dans le développement de comparateurs (pour eux ou pour des tiers).


En conclusion : des cas d'usage qui doivent se développer sur la base du bénéfice apporté aux clients et dans le respect de la protection de leurs données


Le partage de données financières peut avoir de la valeur, nous en sommes convaincus, pour certains cas d’usage comme l’octroi de crédit par exemple. Il permet d’améliorer les parcours, de les rendre plus digitaux et de rendre des décisions plus rapidement voire instantanément. Il permet aussi, pour la clientèle professionnelle et PME de baser nos décisions de crédit non plus sur les seuls bilans mais aussi sur une évolution temps réel de l’activité (transactions, revenus) et de simplifier les parcours en réduisant les justificatifs demandés, ce qui bénéficiera notamment aux entreprises les plus jeunes.

Néanmoins, nous ne croyons pas à une explosion de cas d’usage sous l’effet de FIDA. Nous pensons qu’il sera préférable d’organiser progressivement ce partage entre les différents acteurs, sur des cas où les bénéfices clients sont avérés. Un big bang paraît irréaliste et préoccupant en matière de protection des données clients, ce qui reste notre préoccupation majeure.



Sophie HELLER, 

Chief Operating Officer Commercial, Personal Banking & Services BNP Paribas