COMMISSION EUROPÉENNE
Bruxelles, le 28.6.2023
COM(2023) 360 final
2023/0205(COD)
Proposition de
RÈGLEMENT DU PARLEMENT EUROPÉEN ET DU CONSEIL
relatif à un cadre pour l’accès aux données financières et modifiant les règlements (UE) nº 1093/2010, (UE) nº 1094/2010, (UE) nº 1095/2010 et (UE) 2022/2554
(Texte présentant de l’intérêt pour l’EEE)
{SEC(2023) 255 final} - {SWD(2023) 224 final} - {SWD(2023) 230 final}
EXPOSÉ DES MOTIFS
1.CONTEXTE DE LA PROPOSITION
•Justification et objectifs de la proposition
Si elle veut réussir dans une économie fondée sur les données au service des citoyens et des entreprises, l’Europe doit parvenir à trouver un équilibre entre, d’une part, le flux de données et l’utilisation généralisée de celles-ci et, d’autre part, le maintien de normes élevées en matière de protection de la vie privée, de sécurité, de sûreté et d’éthique. Dans sa communication intitulée «Une stratégie européenne pour les données», la Commission expose la manière dont l’Union européenne devrait mettre en place un environnement attrayant pour parvenir à ce que, d’ici à 2030, sa part dans l’économie fondée sur les données corresponde au moins à son poids économique.
En ce qui concerne la finance, la Commission a fait de la promotion de la finance fondée sur les données l’une des priorités de sa stratégie 2020 en matière de finance numérique et a fait part de son intention de présenter une proposition législative établissant un cadre concernant l’accès aux données financières. En 2021, dans sa communication relative à l’union des marchés des capitaux, la Commission a confirmé son ambition d’accélérer ses travaux visant à promouvoir les services financiers fondés sur les données. Elle a annoncé la création d’un groupe d’experts sur l’espace européen des données financières, qui alimentera la réflexion sur un premier ensemble de cas d’utilisation. Plus récemment, en 2022, la présidente de la Commission, Ursula von der Leyen, a confirmé dans la lettre d’intention qui a accompagné son discours sur l’état de l’Union que l’accès aux données dans les services financiers compte parmi les principales nouvelles initiatives pour 2023.
Actuellement, les clients du secteur financier de l’Union n’ont pas la possibilité de contrôler efficacement l’accès à leurs données et le partage de ces dernières au-delà des comptes de paiement. L’accès aux données détenues par les détenteurs de données, c’est-à-dire les établissements financiers qui collectent, conservent et traitent les données client, s’avère difficile pour les utilisateurs de données, c’est-à-dire les entreprises qui souhaitent avoir accès aux données client pour fournir des services innovants. En conséquence, même si les clients le souhaitent, ils n’ont pas un accès étendu aux services et produits financiers fondés sur les données. Un certain nombre de problèmes corrélés expliquent cet accès limité aux données. Premièrement, en l’absence de règles et d’outils permettant de gérer les permissions nécessaires au partage des données, les clients n’ont pas confiance dans la gestion des risques potentiels inhérents au partage de données. C’est pourquoi ils sont souvent réticents à partager leurs données. Deuxièmement, même s’ils souhaitent partager leurs données, les règles en matière de partage de données sont soit inexistantes, soit floues. En conséquence, les détenteurs de données, tels que les établissements de crédit, les assureurs et les autres établissements financiers détenant des données client à caractère personnel, ne sont pas systématiquement tenus d’autoriser des utilisateurs de données, par exemple des entreprises de technologie financière, c’est-à-dire des entreprises qui ont recours à la technologie pour soutenir ou fournir des services financiers, ou des établissements financiers qui fournissent des services financiers et élaborent des produits financiers sur la base du partage de données, à accéder à leurs données. Troisièmement, le coût du partage de données est accru par l’absence de normalisation de l’infrastructure technique et des données elles-mêmes, qui, de ce fait, diffèrent considérablement.
La présente proposition vise à résoudre ces problèmes en permettant aux consommateurs et aux entreprises de mieux contrôler l’accès à leurs données financières, ce qui permettrait à ces derniers de bénéficier de produits et de services financiers adaptés à leurs besoins sur la base de données pertinentes, tout en évitant les risques qui y sont liés.
La présente proposition a pour objectif général d’améliorer les résultats économiques pour les clients des services financiers (consommateurs et entreprises) et les entreprises du secteur financier en promouvant la transformation numérique et en accélérant l’adoption de modèles économiques fondés sur les données dans le secteur financier de l’Union européenne. Une fois cet objectif atteint, les consommateurs qui le souhaiteront pourront avoir accès à des produits et services personnalisés fondés sur les données qui répondront mieux à leurs besoins spécifiques. Les entreprises, notamment les PME, bénéficieront d’un accès plus large aux produits et services financiers. Les établissements financiers pourront tirer pleinement parti des tendances en matière de transformation numérique, tandis que, en ce qui concerne l’innovation fondée sur les données, de nouveaux débouchés commerciaux s’offriront aux prestataires de services tiers. Les consommateurs et les entreprises auront accès à leurs données financières pour permettre aux utilisateurs de données de fournir des produits et services financiers sur mesure répondant mieux aux besoins des consommateurs et des entreprises.
La proposition ne permettra pas d’abaisser les coûts sur le plan administratif, étant donné qu’il s’agit d’une législation nouvelle ne modifiant pas les règles précédentes de l’Union européenne. Pour le même motif, cette initiative ne relève pas du programme pour une réglementation affûtée et performante (REFIT) de la Commission, qui vise à garantir que le droit de l’Union atteigne ses objectifs à moindre coût au profit des citoyens et des entreprises.
•Cohérence avec les dispositions existantes dans le domaine d’action
La présente proposition se fonde sur la deuxième directive sur les services de paiement (DSP2), qui a autorisé le partage des données relatives aux comptes et aux paiements («banque ouverte»). Elle permet de partager un ensemble plus large de données relatives aux services financiers et fixe les modalités selon lesquelles le partage de données doit être réalisé. Elle établit également les règles applicables aux intervenants du marché qui se livreront à cette activité.
•Cohérence avec les autres politiques de l’Union
La présente proposition respecte le règlement général sur la protection des données (RGPD), qui fixe les règles générales applicables au traitement des données à caractère personnel d’une personne concernée et garantit la protection et la libre circulation de ces données.
Cet élément sectoriel constitutif de la stratégie européenne pour les données permet le partage de données dans le secteur financier ainsi qu’avec d’autres secteurs. La présente proposition se fonde sur les principes de base de l’accès aux données et du traitement de ces dernières, énoncés dans les initiatives intersectorielles de la Commission. Le règlement sur la gouvernance des données vise à renforcer la confiance dans le partage de données et à favoriser la parfaite interconnexion («interopérabilité») entre les espaces de données et la création d’un cadre pour les prestataires de services d’intermédiation de données. Parmi les autres initiatives intersectorielles figure également le règlement sur les marchés numériques, qui établit une série d’obligations en matière de données dans le but de contrer le pouvoir des plateformes «contrôleurs d’accès» et d’assurer la contestabilité des marchés numériques, par exemple, en autorisant les établissements financiers à accéder, au nom de leurs clients ou lors de l’utilisation de services de plateforme essentiels fournis par des contrôleurs d’accès, aux données détenues par ces derniers. Parmi les initiatives intersectorielles, citons également la proposition de règlement sur les données, qui prévoit d’établir de nouveaux droits en matière d’accès aux données de l’internet des objets (IDO), c’est-à-dire aux données que les produits obtiennent, génèrent ou collectent sur leurs performances, leur utilisation ou leur environnement (tant pour les utilisateurs que les fournisseurs de services connexes). Cette proposition de règlement établit également des obligations généralement applicables pour les détenteurs de données, qui seront tenus de mettre des données à la disposition des destinataires de données conformément au droit de l’Union ou à la législation nationale adoptée conformément au droit de l’Union.
Par ailleurs, la présente proposition complète la stratégie de l’Union en matière d’investissement de détail. Elle soutiendra l’objectif consistant à améliorer le fonctionnement du cadre de protection des investisseurs de détail en prévoyant des garanties concernant l’utilisation des données relatives aux investisseurs de détail dans le cadre de services financiers. En outre, elle garantit le respect des règles en matière de cybersécurité et de résilience opérationnelle dans le secteur financier, comme indiqué dans le règlement sur la résilience opérationnelle numérique du secteur financier, qui est entré en vigueur le 16 janvier 2023.
2.BASE JURIDIQUE, SUBSIDIARITÉ ET PROPORTIONNALITÉ
•Base juridique
Le traité sur le fonctionnement de l’Union européenne (TFUE) habilite les institutions européennes à arrêter les mesures relatives au rapprochement des dispositions législatives des États membres qui ont pour objet l’établissement et le fonctionnement du marché intérieur (article 114 du TFUE). Elles ont notamment le pouvoir d’adopter des lois européennes visant à harmoniser les exigences concernant l’utilisation toujours plus importante des données qui s’appliquent aux établissements financiers. En l’absence d’harmonisation, les établissements financiers exerçant des activités transfrontières se heurteraient à des exigences nationales divergentes, ce qui rendrait ces activités plus coûteuses. La création de règles communes relatives au partage de données dans le secteur financier contribuera au bon fonctionnement du marché intérieur. Des règles communes garantiront un cadre réglementaire harmonisé dans le domaine de la gouvernance des données financières, conformément à la stratégie européenne pour les données. Le meilleur moyen pour obtenir ces résultats est d’adopter un règlement, directement applicable dans les États membres.
•Subsidiarité (en cas de compétence non exclusive)
L’économie fondée sur les données fait partie intégrante du marché intérieur. Les flux de données sont au cœur des activités numériques. Ils reflètent les chaînes d’approvisionnement et les collaborations existantes entre les entreprises et les consommateurs. Toute initiative visant à organiser ces flux de données doit s’appliquer au marché intérieur dans son ensemble. Les détenteurs de données étant généralement des établissements financiers agréés soumis à un large éventail de règles détaillées arrêtées en grande partie dans les règlements directement applicables et les dispositions en matière de contrôle dont la convergence est assurée au niveau de l’Union européenne, une intervention à l’échelon de l’Union est nécessaire pour établir des conditions communes et préserver des conditions de concurrence équitable entre les établissements financiers afin d’assurer la protection des consommateurs ainsi que de sauvegarder l’intégrité du marché et la stabilité financière. Une intervention au niveau de l’Union se justifie également par le niveau élevé d’intégration dans le secteur financier. Par ailleurs, les établissements financiers exercent un nombre important d’activités transfrontières.
Les problèmes décrits dans l’analyse d’impact qui accompagne la présente proposition sont communs à l’ensemble des États membres de l’Union. La réglementation des services financiers est une compétence partagée entre l’Union européenne et ses États membres. Ces problèmes ne peuvent être résolus par la seule action des États membres, étant donné que les détenteurs et les utilisateurs potentiels de données client dans ce secteur exercent souvent leurs activités dans plusieurs États membres. De ce fait, les données d’un client peuvent être détenues par des établissements financiers situés dans différents États membres. Pour renforcer la confiance et permettre l’utilisation intégrée de ces données, ces établissements financiers devraient tous être régis par le même cadre juridique et les mêmes normes techniques. Des règles nationales individuelles entraîneraient un chevauchement des exigences et des coûts de mise en conformité disproportionnés pour les entreprises sans être les plus bénéfiques pour les entreprises et les consommateurs.
•Proportionnalité
Conformément au principe de proportionnalité, la proposition n’excède pas ce qui est nécessaire pour atteindre ses objectifs. Elle couvre uniquement les aspects pour lesquels la charge administrative et les coûts sont adaptés aux objectifs à atteindre. Par exemple, la proportionnalité est soigneusement assurée du point de vue de la portée et de la rigueur. Elle s’appuie sur des critères d’évaluation qualitatifs et quantitatifs pour faire en sorte que les nouvelles règles aient un effet étendu. L’annexe 5 de l’analyse d’impact qui accompagne la présente proposition explique de quelle manière le principe de proportionnalité a orienté la sélection des ensembles de données. L’annexe 8 de l’analyse d’impact qui accompagne la présente proposition explique les mesures prises pour garantir une incidence proportionnée sur les PME.
•Choix de l’instrument
La présente proposition devrait prendre la forme d’un règlement, qui serait directement applicable dans tous les États membres. Des règles communes sur les conditions d’accès aux données client de services financiers et sur le traitement de ces données pourraient ainsi s’appliquer dans l’ensemble des États membres.
3.RÉSULTATS DES ÉVALUATIONS EX POST, DES CONSULTATIONS DES PARTIES INTÉRESSÉES ET DES ANALYSES D’IMPACT
•Évaluations ex post/bilans de qualité de la législation existante
Cette nouvelle proposition ne s’appuie pas sur une législation existante. Elle se fonde sur le régime de banque ouverte établi dans la directive (UE) 2015/2366, mais crée un nouveau droit d’accès aux données pour les ensembles de données jusque-là non couverts par un autre cadre législatif de l’Union.
•Consultation des parties intéressées
Le 10 mai 2022, la Commission européenne a lancé un appel à contributions sur l’accès aux données financières. L’appel à contributions a pris fin le 2 août 2022. Il a permis de recueillir 79 réponses. Les personnes qui ont répondu à titre individuel ont fait part de leurs inquiétudes quant au partage de données en l’absence de cadre prévoyant des garanties claires, telles que des tableaux de bord sur la protection de la vie privée, une définition précise de son champ d’application et des conditions de concurrence égales entre les intervenants du marché. Les entreprises ont répondu de manière plutôt positive, pour autant que des mécanismes de sauvegarde appropriés soient mis en place. L’appel à contributions a montré que, s’il est correctement conçu, l’accès aux données financières pourrait avoir une incidence positive.
Le 10 mai 2022, la Commission européenne a également lancé une consultation publique commune sur la révision de la deuxième directive sur les services de paiement (DSP2) et l’accès aux données financières. Cette consultation publique s’est achevée le 2 août 2022. Les réponses concernant l’accès aux données financières ont confirmé les avis exprimés dans le cadre de l’appel à contributions. Si la plupart des répondants du grand public se sont dits désireux de partager leurs données moyennant un accord/consentement solide de la part du consommateur, quelques-uns ont fait part de leurs inquiétudes concernant le partage de leurs données financières. Ces inquiétudes découlaient d’un manque de confiance quant au respect de la vie privée, de la protection des données, de la sécurité numérique et d’un sentiment généralisé de perte de contrôle sur la manière dont leurs données sont utilisées.
Les professionnels intéressés (utilisateurs professionnels, entreprises de technologie financière, organisations de consommateurs, autorités publiques concernées et organes de réglementation nationale) étaient plus favorables au partage de données et ont cité les avantages que les clients pourraient en tirer (par exemple, renforcement de la concurrence et de l’innovation en ce qui concerne les produits et services financiers). Une importante minorité de répondants professionnels a également exprimé des préoccupations concernant la concurrence, la sécurité et l’utilisation abusive des données.
Le 10 mai 2022, la Commission a également lancé une consultation ciblée sur l’accès aux données financières et le partage de données dans le secteur financier. La consultation ciblée a pris fin le 5 juillet 2022 et a recueilli 94 réponses de professionnels concernés.
La consultation ciblée avait pour objectif de recueillir l’avis de spécialistes sur le partage de données dans le secteur de la finance. Parmi les professionnels ciblés figuraient notamment les établissements financiers, les vendeurs de données, les entreprises de technologie financière, les utilisateurs professionnels, les associations de protection des consommateurs, les autorités publiques concernées et les organes de réglementation nationale. De façon générale, les réponses ont montré que la plupart des professionnels ayant participé à la consultation perçoivent les avantages potentiels d’un cadre juridique en matière d’accès aux données financières. Ces professionnels sont, par conséquent, favorables à une intervention réglementaire dans certains domaines. Cependant, il ressort de certaines réponses à la consultation ciblée que les avis des parties prenantes divergent fortement et que le soutien de la part des consommateurs et des détenteurs de données dépend de la manière dont ces données seront obtenues et partagées.
•Obtention et utilisation d’expertise
Le 24 octobre 2022, la Commission a reçu un rapport sur la finance ouverte du groupe d’experts sur l’espace européen des données financières. Ce groupe d’experts rassemble des experts du monde universitaire, des consommateurs et des représentants de l’industrie (notamment, banques, assurances, caisses de retraite, sociétés d’investissement, ainsi que des prestataires tiers et des entreprises de technologie financière). Le rapport décrit les principaux composants d’un écosystème de finance ouverte du point de vue du groupe d’experts (accessibilité des données, protection des données, normalisation des données, responsabilité, conditions de concurrence équitables et principaux acteurs), expose des considérations relatives à chaque élément et présente les divergences de vues au sein du groupe. Pour illustrer les enjeux et les perspectives de la finance ouverte, le groupe d’experts a étudié plusieurs cas d’utilisation, qui sont détaillés dans le rapport. Les cas d’utilisation et les conclusions du rapport ont été utilisés pour élaborer la présente proposition, notamment pour déterminer les données relevant du champ d’application de la proposition.
•Analyse d’impact
La présente proposition s’accompagne d’une analyse d’impact qui a été soumise au comité d’examen de la réglementation (CER) de la Commission le 3 février 2023 et approuvée le 3 mars 2023. Le CER a recommandé que soient apportées des améliorations dans certains domaines afin de renforcer l’assise factuelle, d’insister sur la confiance des clients et la protection des consommateurs vulnérables, et de mieux définir les limites et les incertitudes de l’analyse coûts/bénéfices de la présente proposition. L’analyse d’impact a été modifiée en conséquence et a tenu compte des commentaires plus détaillés du CER.
Les options stratégiques ont été sélectionnées sur la base des recommandations du groupe d’expert sur l’espace européen des données financières et des commentaires des parties prenantes.
Plusieurs options envisagées avaient pour objectif d’améliorer la confiance des clients vis-à-vis du partage de données, de clarifier la situation juridique, de promouvoir la normalisation et de mettre en place des mesures d’incitation. Pour ce qui concerne la confiance des clients, les options envisagées prévoyaient notamment l’utilisation obligatoire de tableaux de bord de permission d’accès aux données financières, l’établissement de règles déterminant qui peut accéder aux données clients, et la mise en place de garanties complétant ces règles, notamment de lignes directrices protégeant le consommateur contre les traitements injustes ou les risques d’exclusion.
Pour garantir la clarté juridique, l’une des options envisagées consistait à déterminer dans quelle mesure les détenteurs de données pourraient être tenus de partager leurs données client avec les utilisateurs de données. Une base obligatoire pourrait être envisagée, sous réserve d’une demande formulée par le client. Les types d’entreprises contraintes de partager des données ont également été examinés (établissements de crédit, fournisseurs de services de paiement et autres types d’établissements financiers dans l’ensemble du secteur financier).
Plusieurs options ont été envisagées pour promouvoir la normalisation des données et des interfaces clients. L’une des options consistait à demander aux intervenants du marché d’élaborer conjointement des normes communes applicables aux données et interfaces clients dans le cadre d’un système de partage des données financières. La question s’est posée de savoir si les intervenants du marché seraient tenus d’adhérer à ce système de manière volontaire ou obligatoire pour pouvoir accéder aux données. Il a également été envisagé d’élaborer un tel système au moyen d’actes délégués ou d’actes d’exécution (législation de niveau II qui complète ou modifie certains éléments non essentiels d’actes de base).
Plusieurs options ont été envisagées pour mettre en place des interfaces de qualité aux fins du partage des données client. Les détenteurs de données pourraient être tenus de mettre en place des interfaces de programmation d’application (API) mettant en œuvre les normes communes applicables aux données et aux interfaces et de les mettre à la disposition des utilisateurs de données sans contrat et sans aucune indemnisation de la part des utilisateurs qui utilisent ces interfaces. Une autre option consisterait à autoriser le versement d’une indemnité raisonnable en échange de l’installation et de l’utilisation des interfaces et de convenir d’une responsabilité contractuelle.
La Commission a estimé que l’option à privilégier est un règlement de l’Union européenne établissant un cadre relatif à l’accès aux données financières et prévoyant ce qui suit:
·exiger des intervenants du marché qu’ils mettent à la disposition des clients des tableaux de bord des permissions d’accès aux données financières, établir des règles d’éligibilité concernant l’accès aux données client, et habiliter les autorités européennes de supervision (AES) à publier des lignes directrices pour protéger les consommateurs contre les traitements injustes ou les risques d’exclusion;
·rendre obligatoire l’accès des utilisateurs de données à des ensembles de données client sélectionnés dans l’ensemble du secteur financier, toujours sous réserve de la permission des clients auxquels les données se rapportent;
·exiger des intervenants du marché qu’ils élaborent des normes communes applicables aux données et interfaces clients concernant les données assujetties aux règles d’accès obligatoire, dans le cadre des systèmes; et
·exiger des détenteurs de données qu’ils mettent en place des API en échange du versement d’une indemnité, mettant ainsi en œuvre les normes communes applicables aux données et interfaces clients élaborées dans le cadre des systèmes et exiger des adhérents au système de convenir d’une responsabilité contractuelle.
De manière globale, les effets attendus sur l’économie de la présente proposition sont les suivants: amélioration de l’accès à des services financiers de meilleure qualité et amélioration du rapport qualité/prix. L’accès aux données financières aurait pour conséquence des services plus axés sur les utilisateurs: des services personnalisés pourraient bénéficier aux consommateurs qui cherchent à obtenir des conseils en investissement, tandis qu’une évaluation automatisée de la solvabilité pourrait contribuer à faciliter l’accès des PME au financement. L’effet sur l’ensemble de l’économie devrait être positif, la prestation de services gagnant en efficacité grâce à une concurrence plus effective. Cependant, pour que ces effets positifs se concrétisent, il importe de veiller à ce que la réutilisation des données ne donne pas lieu à des comportements anticoncurrentiels ou à de la collusion, compte tenu notamment de l’exigence d’adhésion obligatoire aux systèmes contractuels, et à ce que les détenteurs de données, en particulier, n’évincent pas les concurrents au moyen de frais élevés pour accéder aux données.
On peut s’attendre à ce que la proposition ait une incidence sociale globale positive à condition que les risques associés restent sous contrôle. Le partage des données clients serait contrôlé, étant donné qu’il est activé uniquement à la demande des clients (l’accès obligatoire serait activé uniquement après que le client a demandé que ses données soient partagées). Un partage de données plus détaillé pourrait permettre à des utilisateurs précédemment exclus d’avoir accès au financement. Il pourrait faciliter la constitution de plans d’épargne et de retraite ciblés en fournissant un aperçu complet des droits à la retraite privée et professionnelle et d’autres formes d’épargnes constituées en prévision de la retraite. D’autre part, sans garanties appropriées, une utilisation accrue des données pourrait, dans certains cas précis, entraîner une augmentation des coûts, voire une exclusion des clients dont le profil de risque est défavorable. Il convient d’accorder une attention particulière aux services comportant une mutualisation des risques, tels que les assurances. Toutefois, l’option privilégiée permettrait d’atténuer ces effets, étant donné que les ensembles de données qui sont directement liés aux services financiers essentiels pour les consommateurs seraient exclus de son champ d’application. Par ailleurs, les lignes directrices de l’ABE et de l’AEAPP relatives aux périmètres applicables d’utilisation des données à caractère personnel constitueraient une garantie supplémentaire.
De manière générale, l’accès aux données devrait avoir une incidence indirecte neutre à positive sur l’environnement, étant donné qu’il devrait favoriser l’adoption de services d’investissement innovants, notamment de services qui orientent les investissements vers des activités plus durables. Bien qu’une utilisation plus intensive des centres de données couplée à une réutilisation accrue des données pourrait avoir des répercussions négatives, la portée de ces répercussions serait limitée, car la plupart des données couvertes par la présente proposition existent déjà en format numérique. L’augmentation du volume de traitement résulterait essentiellement de l’accès à ces données par les utilisateurs de données.
Compte tenu de la disponibilité limitée des données et de la nature de la présente proposition, il est en soi difficile de faire des prévisions quantitatives quant aux avantages que l’économie dans son ensemble pourrait en retirer. Il est tout aussi compliqué d’isoler les effets de chaque mesure stratégique de l’effet global possible. Alors qu’il est difficile d’estimer les coûts de chaque option, il est encore plus complexe d’évaluer les avantages de chacune d’elles. Des efforts ont été faits pour procéder à une évaluation macroéconomique des avantages potentiels sur la base d’une étude à grande échelle. L’objectif n’était cependant pas de quantifier explicitement les avantages de la présente proposition. Par conséquent, les chiffres présentés ci-dessous devraient être considérés à titre illustratif plutôt que comme une estimation exacte des avantages potentiels. Selon cette évaluation macroéconomique, le total annuel des bénéfices pour l’économie de l’Union résultant de l’amélioration de l’accès aux données du secteur financier de l’Union européenne et du partage de ces dernières oscille entre 4,6 milliards d’EUR et 12,4 milliards d’EUR, y compris l’incidence directe sur l’économie des données financières de l’Union comprise entre 663 millions d’EUR et 2 milliards d’EUR par an. Le coût global de la proposition est estimé entre 2,2 milliards d’EUR et 2,4 milliards d’EUR (coûts non récurrents) ou entre 147 millions d’EUR et 465 millions d’EUR (coûts annuels récurrents).
La finance numérique comporte de nombreux aspects qui peuvent améliorer le fonctionnement des économies et soutenir la cause du développement durable. L’accès au financement est l’un des principaux défis du développement durable. Bien qu’il ne s’agisse pas de l’objectif direct de la proposition, cela contribuera indirectement à favoriser une croissance économique inclusive et durable et la création d’emplois. Cela peut aider les personnes socialement exclues à bénéficier d’un meilleur accès au financement. La présente proposition s’inscrit dans le contexte de la construction d’infrastructures résilientes, de l’industrialisation durable et de l’innovation. Elle peut libérer des forces économiques concurrentielles qui amélioreront la connectivité dans le domaine de la finance. La proposition contribuera également à lutter contre le changement climatique grâce à des conseils ciblés en matière d’investissement, en aidant les investisseurs à prendre des décisions plus éclairées qui orienteront les flux de capitaux vers des investissements durables.
•Réglementation affûtée et simplification
La présente proposition permettra aux utilisateurs de données d’accéder plus facilement aux données financières des clients, facilitant ainsi l’accès des clients à des services financiers innovants. Elle soutiendra notamment les PME et leur accès au financement. Elle prévoit plusieurs mesures visant à atténuer les répercussions négatives sur les PME détentrices de données. Par exemple, grâce à l’introduction d’une indemnisation en échange d’un accès aux données, les acteurs plus petits du marché seraient autorisés à recouvrer les coûts engagés par l’obligation de fournir des interfaces techniques pour l’accès aux données («interfaces de programmation d’application»). En outre, les PME détentrices de données pourraient réduire davantage leurs coûts de mise en œuvre en élaborant des interfaces conjointes ou en ayant recours à des prestataires de services externes. De plus, les PME utilisatrices de données auront la possibilité d’accéder aux données client en échange d’une indemnité moindre et plafonnée, conformément à l’article 9, paragraphe 2, de la proposition de règlement sur les données. La possibilité d’exclure les PME détentrices de données du champ d’application des obligations pour mettre les données à disposition a été envisagée, puis rejetée. En effet, cette option comportait plusieurs inconvénients. Elle réduisait considérablement l’incidence positive de la proposition, étant donné que plusieurs cas d’utilisation s’appuient sur des données provenant de l’ensemble des institutions financières qui répondent aux besoins de clients particuliers et qui détiennent les données à réunir. Par exemple, les cas d’utilisation relatifs aux conseils en investissement ne fonctionneraient efficacement que si les données pertinentes concernant les avoirs et les investissements d’un client (qu’elles soient détenues par des entreprises de plus petite ou plus grande taille) étaient accessibles dans leur totalité. En outre, un tel scénario ne serait pas conforme à l’objectif visant à garantir que tous les intervenants du marché respectent les règles fondamentales destinées à garantir des conditions de concurrence équitables. Plus généralement, les coûts administratifs qui incombent aux entreprises (coûts non récurrents à hauteur de 18,5 millions d’EUR) constituent une charge administrative proportionnée et relativement restreinte.
•Droits fondamentaux
La présente proposition a une incidence sur les droits fondamentaux des consommateurs, notamment les articles 7 et 8 relatifs au respect de la vie privée et familiale et au droit à la protection des données à caractère personnel consacrés dans la charte des droits fondamentaux de l’Union européenne (la charte de l’Union européenne). La proposition établit des droits d’accès aux données dans le secteur financier, ce qui contribuerait à augmenter le partage de données, notamment de données à caractère personnel, à la demande des clients. Les effets sur les droits fondamentaux seront atténués en veillant à ce que, conformément à l’article 38 de la charte de l’Union européenne, le niveau de protection des consommateurs soit élevé et à ce que le partage de données soit strictement subordonné à la demande du client. Afin d’assurer le respect des articles 7 et 8 de la charte de l’Union européenne, certaines dispositions, notamment les dispositions concernant les tableaux de bord des permissions d’accès aux données financières et les lignes directrices dans les domaines où il existe un risque comparativement élevé d’exclusion, renforceront la confiance des clients et instaureront un cadre de contrôle du partage des données à caractère personnel par l’utilisateur. Le tableau de bord renforcera le contrôle par le client, notamment lorsque des données à caractère personnel seront traitées pour le service demandé, si un consentement a été donné ou si le traitement de ces données s’avère nécessaire aux fins de l’exécution du contrat. Par ailleurs, des restrictions concernant la réutilisation des données au-delà du service demandé ont été introduites. L’introduction de la nouvelle catégorie de «prestataires de services d’information financière» garantira que seuls les prestataires fiables et sûrs seront habilités à accéder aux données client dans le secteur financier et à les traiter. En outre, les consommateurs seront protégés par des mécanismes de sécurité solides contre toute utilisation abusive ou violation des données, puisque tant les détenteurs de données que les utilisateurs de données seront tenus de respecter les règles du règlement sur la résilience opérationnelle numérique du secteur financier («règlement DORA»).
4.INCIDENCE BUDGÉTAIRE
La mise en œuvre de la présente proposition n’aura pas d’incidence sur le budget général de l’Union européenne. Bien que les autorités européennes de surveillance (AES) devront accomplir certaines tâches afin de mettre correctement en œuvre la législation, la plupart de ces tâches relèvent des mandats existants des AES (par exemple, élaboration de projets de normes de réglementation ou d’exécution ou de lignes directrices afin d’assurer une meilleure application du présent règlement). De plus, l’autorité bancaire européenne (ABE) aura l’obligation de tenir un registre des informations sur, par exemple, les prestataires de services d’information financière, mais le coût de la mise en place de ce registre sera limité et devrait être couvert par les économies réalisées grâce aux synergies et aux gains d’efficacité que tous les organes de l’Union devraient réaliser. À l’inverse, la législation n’attribuera pas aux AES de nouvelles tâches de surveillance ou de contrôle. Par conséquent, les coûts résultant de la mise en œuvre de la législation proposée devraient être couverts par le budget existant des AES.
Les implications en matière de coûts et de charge administrative pour les autorités nationales compétentes (ANC) sont limitées. Leur amplitude et leur répartition dépendront de l’obligation pour les prestataires de services d’information financière de faire une demande de licence auprès d’une ANC ainsi que des tâches de surveillance et de contrôle y afférentes. Les coûts qui incomberont aux ANC seront partiellement compensés par les redevances de surveillance que les ANC percevront auprès des prestataires de services d’information financière.
Les établissements financiers soumis à réglementation qui sont déjà titulaires d’une licence ne seront pas concernés par le nouveau régime de licences que la présente proposition instaurera. Par ailleurs, aucune exigence supplémentaire ne sera introduite en matière de réglementation, de licences et de communication d’informations, ou autre. En ce qui concerne les entreprises qui devront faire une demande de licence, le coût total d’une demande de licence est estimé à environ 18,5 millions d’EUR, en supposant que quelque 350 entreprises demanderont à devenir des prestataires de services d’information financière pour pouvoir accéder aux données client. Ces entreprises devront également satisfaire aux exigences du règlement DORA et adopter les normes requises en matière de cybersécurité.
5.AUTRES ÉLÉMENTS
•Plans de mise en œuvre et modalités de suivi, d’évaluation et d’information
Il est nécessaire de prévoir un mécanisme de suivi et d’évaluation pour veiller à ce que les mesures réglementaires prises soient efficaces pour atteindre leurs objectifs. La Commission évaluera l’incidence du présent règlement et sera chargée de l’examiner (article 31 de la proposition).
•Explication détaillée de certaines dispositions de la proposition
La présente proposition vise à établir un cadre régissant l’accès aux données client dans le secteur financier ainsi que leur utilisation (accès aux données financières). Le terme «accès aux données financières» désigne l’accès aux données entre entreprises et entre entreprises et clients (y compris les consommateurs), ainsi que le traitement des données, à la demande du client dans une gamme étendue de services financiers. La proposition est divisée en neuf titres.
Le titre I établit l’objet, le champ d’application et les définitions. L’article 1er dispose que le règlement établit les règles relatives à l’accès à certaines catégories de données client dans le domaine financier, à leur partage et à leur utilisation. Il fixe également les exigences relatives à l’accès aux données financières, à leur partage et à leur utilisation, les droits et obligations respectifs des utilisateurs et des détenteurs de données ainsi que les droits et obligations respectifs des prestataires de services d’information financière pour ce qui concerne la fourniture de services d’information en tant qu’activité habituelle ou professionnelle. L’article 2 définit le champ d’application du règlement en énumérant de manière exhaustive les ensembles de données et les entreprises auxquels celui-ci s’applique. L’article 3 contient les termes et définitions utilisés aux fins du présent règlement, notamment «détenteur de données», «utilisateur de données» et «prestataire de services d’information financière».
Le titre II impose une obligation juridique aux détenteurs de données et régit les modalités d’application de cette obligation. L’article 4 indique que le détenteur de données doit mettre les données relevant du champ d’application du présent règlement à la disposition des clients qui en font la demande. L’article 5 confère au client le droit de demander au détenteur de données de partager ces données avec un utilisateur de données. En ce qui concerne les données à caractère personnel, la demande doit être fondée sur une base juridique valable, comme l’indique le règlement général sur la protection des données (RGPD), qui autorise le traitement des données à caractère personnel. L’article 6 impose certaines obligations aux utilisateurs de données qui reçoivent des données à la demande de clients. Seules les données client mises à disposition en vertu de l’article 5 devraient être accessibles, et ces données ne devraient être utilisées qu’aux fins et conditions convenues avec le client. Les données de sécurité personnalisées du client ne devraient pas être accessibles à d’autres parties, tandis que les données ne devraient pas être stockées plus longtemps que nécessaire.
Le titre III établit les exigences visant à garantir la sécurité et l’utilisation responsable des données. L’article 7 fournit des orientations quant à la manière dont les entreprises devraient utiliser les données pour des cas d’utilisation précis et garantit que l’accès aux services ne fera l’objet d’aucune discrimination ou restriction à la suite de l’utilisation des données. Il garantit aux clients qui refusent d’accorder la permission d’utiliser certaines de leurs données qu’ils ne se verront pas refuser l’accès à des produits financiers pour la simple raison qu’ils ont refusé d’accorder leur permission. L’article 8 établit les tableaux de bord des permissions d’accès aux données financières. Ces tableaux, qui offriront aux clients une vue d’ensemble de leurs permissions d’accès aux données, leur permettront de contrôler leurs permissions d’accès, d’en octroyer de nouvelles et, si nécessaire, d’en retirer.
Le titre IV détermine les règles applicables à la création et à la gouvernance des systèmes de partage des données financières, qui ont pour but de réunir les détenteurs de données, les utilisateurs de données et les organisations de consommateurs. Ces systèmes devraient se doter de normes en matière de données et d’interfaces, établir les mécanismes de coordination du fonctionnement des tableaux de bord des permissions d’accès aux données financières et adopter un cadre contractuel et normalisé commun régissant l’accès à des ensembles de données spécifiques, les règles de gouvernance de ces systèmes, les exigences de transparence, les règles d’indemnisation, la responsabilité et le règlement des litiges. L’article 9 prévoit que les données relevant du champ d’application du présent règlement ne doivent être mises à la disposition que des membres d’un système de partage de données financières, rendant ainsi obligatoires l’existence de ces systèmes et l’adhésion à ces derniers. L’article 10 établit les procédures de gouvernance de ces systèmes, y compris les règles relatives à la responsabilité contractuelle de ses membres et le mécanisme de règlement extrajudiciaire des litiges. L’article 10 prévoit, en outre, l’élaboration de normes communes pour le partage de données et la création d’interfaces techniques à utiliser aux fins du partage de données. Ces systèmes de partage de données doivent être notifiés aux autorités compétentes. Ils doivent bénéficier d’un passeport pour les opérations menées dans les différents pays de l’Union et, à des fins de transparence, faire partie d’un registre tenu par l’ABE. Les dispositions minimales relatives aux systèmes de partage des données financières devraient également établir qu’un détenteur de données a le droit de percevoir une indemnité pour avoir mis les données à la disposition d’un utilisateur de données, conformément aux modalités du système dont l’un et l’autre font partie. En tout état de cause, le montant de l’indemnité doit être raisonnable et être calculé à l’aide d’une méthode claire et transparente préalablement convenue par les membres du système et devrait refléter au moins les coûts de mise à disposition d’une interface technique pour partager les données requises. L’article 11 habilite la Commission à adopter un acte délégué au cas où un système de partage des données financières n’aurait pas été mis en place pour une ou plusieurs catégories de données client.
Le titre V énonce les dispositions relatives à l’agrément et aux conditions d’exercice des prestataires de services d’information financière. Ces exigences insistent sur la teneur obligatoire d’une demande (article 12), la désignation d’un représentant légal (article 13), le champ d’application de l’agrément, notamment le passeport de l’Union européenne pour les prestataires de services d’information financière (article 14), et l’octroi aux autorités compétentes du droit de retirer un agrément. L’article 15 prévoit la mise en place et la tenue, par l’ABE, d’un registre des prestataires de services d’information financière et des systèmes de partage de données. L’article 16 définit les exigences organisationnelles applicables aux prestataires de services d’information financière.
Le titre VI détaille les pouvoirs des autorités compétentes. L’article 17 impose aux États membres l’obligation de désigner les autorités compétentes. L’article 18 comporte des dispositions détaillées sur les pouvoirs des autorités compétentes, tandis que l’article 19 confère le pouvoir de conclure des accords transactionnels et d’adopter des procédures d’exécution accélérées. Les articles 20 et 21 détaillent les sanctions administratives et d’autres mesures administratives, ainsi que les pénalités périodiques, qui peuvent être infligées aux autorités compétentes. L’article 22 énonce les circonstances à prendre en considération lorsque les autorités compétentes déterminent les pénalités administratives et d’autres mesures administratives. L’article 23 porte sur le secret professionnel en matière d’échange d’informations entre autorités compétentes. Le titre VI comprend des dispositions relatives au droit de recours (article 24), à la publication des sanctions administratives et des mesures administratives imposées (article 25), aux règles qui président à l’échange d’informations entre autorités compétentes (article 26) et au règlement des désaccords entre elles (article 27).
Le titre VII prévoit la procédure de notification aux autorités compétentes pour les entreprises qui exercent leur droit d’établissement et de libre prestation de services (article 28), ainsi qu’une obligation d’information pour les autorités compétentes lorsqu’elles prennent des mesures restreignant la liberté d’établissement (article 29).
Le titre VIII porte notamment sur l’exercice de la délégation en vue d’adopter des actes délégués de la Commission (article 30), la proposition elle-même habilitant la Commission à adopter un acte délégué en vertu de l’article 11. Ce titre prévoit, par ailleurs, l’obligation pour la Commission d’examiner certains aspects du règlement (article 31). Les articles 32 à 34 portent sur les modifications à apporter aux règlements établissant les AES afin d’inclure le présent règlement et les prestataires de services d’information financière dans leur champ d’application. L’article 35 prévoit une modification du règlement sur la résilience opérationnelle numérique du secteur financier. Enfin, l’article 36 indique que le présent règlement entrera en application 24 mois après son entrée en vigueur, à l’exception du titre IV (relatif aux systèmes), qui entrera en application 18 mois après l’entrée en vigueur du règlement.
2023/0205 (COD)
Proposition de
RÈGLEMENT DU PARLEMENT EUROPÉEN ET DU CONSEIL
relatif à un cadre pour l’accès aux données financières et modifiant les règlements (UE) nº 1093/2010, (UE) nº 1094/2010, (UE) nº 1095/2010 et (UE) 2022/2554
(Texte présentant de l’intérêt pour l’EEE)
LE PARLEMENT EUROPÉEN ET LE CONSEIL DE L’UNION EUROPÉENNE,
vu le traité sur le fonctionnement de l’Union européenne, et notamment son article 114,
vu la proposition de la Commission européenne,
après transmission du projet d’acte législatif aux parlements nationaux,
vu l’avis du Comité économique et social européen,
statuant conformément à la procédure législative ordinaire,
considérant ce qui suit:
(1)Une économie des données responsable, fondée sur la production et l’utilisation de données, fait partie intégrante du marché intérieur de l’Union et peut bénéficier autant aux citoyens de l’Union qu’à l’économie. Les technologies numériques fondées sur les données entraînent de plus en plus de changements sur les marchés financiers en créant de nouveaux modèles économiques et de nouveaux produits, et en offrant aux entreprises de nouveaux moyens d’interagir avec les clients.
(2)Qu’il s’agisse de consommateurs ou d’entreprises, les clients des établissements financiers devraient pouvoir exercer un contrôle effectif sur leurs données financières et tirer parti, dans le secteur financier, d’une innovation fondée sur les données qui soit ouverte, équitable et sûre. Ces clients devraient pouvoir décider de la manière dont leurs données financières sont utilisées, et par qui, et pouvoir choisir de donner à des entreprises accès à leurs données en échange, s’ils le souhaitent, de services financiers et de services d’information.
(3)L’Union a un intérêt déclaré à permettre aux clients des établissements financiers d’accéder à leurs données financières. Dans sa communication sur une stratégie en matière de finance numérique et sa communication sur une union des marchés des capitaux adoptée en 2021, la Commission a confirmé son intention de mettre en place un cadre pour l’accès aux données financières permettant aux clients de tirer parti des avantages offerts par le partage de données dans le secteur financier. Parmi ces avantages figure, notamment, la possibilité de mettre au point et de fournir des produits et services financiers fondés sur les données grâce au partage des données client.
(4)Au sein des services financiers, et en conséquence de la révision de la directive (UE) 2015/2366 du Parlement européen et du Conseil, le partage des données des comptes de paiement dans l’Union fondé sur la permission des clients a commencé à transformer la manière dont les consommateurs et les entreprises utilisent les services bancaires. Dans le prolongement des mesures prévues par cette directive, il convient d’établir un cadre réglementaire pour le partage des données client dans l’ensemble du secteur financier, au-delà des données des comptes de paiement. Cela devrait également constituer un élément sur lequel s’appuyer en vue de l’intégration complète du secteur financier dans la stratégie de la Commission pour les données, qui encourage le partage de données entre secteurs.
(5)Pour être performant et efficace, un cadre de partage des données dans le secteur financier doit impérativement inspirer confiance aux clients et leur laisser le contrôle de leurs données. Permettre aux clients d’exercer un contrôle effectif sur le partage de données contribue à l’innovation et donne confiance aux clients. Un contrôle effectif aide donc à lever la réticence des clients à partager leurs données. Selon le cadre actuel de l’Union, le droit à la portabilité des données d’une personne concernée, prévu par le règlement (UE) 2016/679 du Parlement européen et du Conseil, est limité aux données à caractère personnel et ne peut être invoqué que lorsqu’il est techniquement possible de transmettre ces données. À part dans le cas des comptes de paiement, les données client et les interfaces techniques ne sont pas normalisées dans le secteur financier, ce qui rend le partage de données plus coûteux. En outre, les établissements financiers ne sont juridiquement tenus que de mettre à disposition les données de paiement de leurs clients.
(6)L’économie des données financières de l’Union reste donc fragmentée et marquée par un partage inégal des données, par des obstacles et par une forte réticence des parties prenantes à partager leurs données au-delà de celles des comptes de paiement. En conséquence, les clients ne bénéficient pas de produits ni de services fondés sur les données qui soient personnalisés et susceptibles de répondre à leurs besoins spécifiques. L’absence de produits financiers personnalisés limite la possibilité d’innover et donc de proposer un éventail plus large de produits et de services financiers aux consommateurs intéressés, qui, dans le cas contraire, auraient pu profiter d’outils fondés sur les données à même de les aider à faire des choix éclairés et à comparer plus facilement les offres, et qui auraient pu opter pour des produits plus avantageux correspondant à leurs préférences, établies sur la base de leurs données. Les obstacles actuels au partage de données commerciales empêchent les entreprises, en particulier les PME, de profiter de services financiers automatisés, de meilleure qualité et plus pratiques.
(7)Afin de garantir un accès fluide et efficace aux données, il est essentiel que les données soient mises à disposition au moyen d’interfaces de programmation d’application de qualité. Toutefois, à part dans le cas des comptes de paiement, seule une minorité d’établissements financiers détenteurs de données déclarent utiliser des interfaces techniques, telles que des interfaces de programmation d’application, pour mettre à disposition des données. Faute d’incitations à mettre au point ce type de services innovants, la demande du marché en matière d’accès aux données reste limitée.
(8)Un cadre spécifique et harmonisé pour l’accès aux données financières est donc nécessaire au niveau de l’Union pour répondre aux besoins de l’économie numérique et lever les obstacles à un marché intérieur des données performant. Des règles spécifiques sont nécessaires pour écarter ces obstacles et promouvoir un meilleur accès aux données client et, partant, permettre aux consommateurs et aux entreprises de réaliser les gains qui découlent de l’amélioration des produits et services financiers. La finance fondée sur les données permettrait au secteur de passer plus facilement de la fourniture traditionnelle de produits normalisés à celle de solutions sur mesure mieux adaptées aux besoins spécifiques des clients, notamment des meilleures interfaces client permettant de renforcer la concurrence, d’améliorer l’expérience utilisateur et d’assurer des services financiers axés sur le client en tant qu’utilisateur final.
(9)Les données entrant dans le champ d’application du présent règlement devraient avoir une forte valeur ajoutée en matière d’innovation financière et présenter un faible risque d’exclusion financière pour les consommateurs. Le présent règlement ne devrait donc pas couvrir les données relatives aux assurances maladie et santé d’un consommateur conformément à la directive 2009/138/CE du Parlement européen et du Conseil, ni celles relatives aux produits d’assurance vie d’un consommateur, au sens de cette même directive, autres que les contrats d’assurance vie couverts par des produits d’investissement fondés sur l’assurance. Le présent règlement ne devrait pas non plus concerner les données recueillies dans le cadre d’une évaluation de la solvabilité d’un consommateur. Le partage des données client relevant du champ d’application du présent règlement devrait respecter les règles en matière de protection des données commerciales confidentielles et des secrets d’affaires.
(10)Le partage des données client relevant du champ d’application du présent règlement devrait être fondé sur la permission du client. L’obligation juridique imposant aux détenteurs de données de partager des données client devrait être déclenchée lorsqu’un client demande que ses données soient partagées avec un utilisateur de données. Cette demande peut être présentée par un utilisateur de données agissant pour le compte du client. En cas de traitement de données à caractère personnel, un utilisateur de données devrait disposer d’une base légale valable pour procéder au traitement des données conformément au règlement (UE) 2016/679. Les données client peuvent faire l’objet d’un traitement aux fins convenues dans le cadre du service fourni. Le traitement de données à caractère personnel doit respecter les principes de la protection des données à caractère personnel, notamment la licéité, la loyauté et la transparence ainsi que la limitation aux finalités et la minimisation des données. Un client a le droit de retirer la permission accordée à un utilisateur de données. Lorsque le traitement de données est nécessaire à l’exécution d’un contrat, le client devrait être en mesure de retirer les permissions qu’il a accordées, ce dans le respect des obligations contractuelles auxquelles il est soumis. Lorsque le traitement de données à caractère personnel est fondé sur le consentement, la personne concernée a le droit de retirer son consentement à tout moment, conformément au règlement (UE) 2016/679.
(11)Le fait de permettre aux clients de partager des données relatives à leurs investissements en cours peut stimuler l’innovation en matière de services d’investissement de détail. La collecte de données primaires aux fins de la réalisation d’une évaluation de l’adéquation et du caractère approprié d’un investisseur de détail prend beaucoup de temps aux clients et constitue un facteur de coût important pour les conseillers et les distributeurs de produits d’investissement, de produits de retraite et de produits d’investissement fondés sur l’assurance. Le partage de données client relatives à des avoirs sous forme d’épargne et d’investissements dans des instruments financiers, y compris des produits d’investissement fondés sur l’assurance, ainsi que de données collectées aux fins d’une évaluation de l’adéquation et du caractère approprié peut contribuer à améliorer les conseils en investissement prodigués aux consommateurs et recèle un fort potentiel d’innovation, notamment pour la mise au point de conseils personnalisés en investissement et d’outils de gestion d’investissements susceptibles de rendre les conseils en investissement de détail plus performants. Ce type d’outils de gestion est déjà en cours d’élaboration sur le marché, et son élaboration est facilitée lorsque les clients peuvent partager leurs données relatives aux investissements.
(12)Les données client relatives aux détails des soldes, des conditions ou des transactions en lien avec des hypothèques, des prêts et de l’épargne peuvent permettre aux clients d’avoir une meilleure vue d’ensemble de leurs dépôts et de mieux satisfaire leurs besoins en épargne sur la base de données de crédit. Le présent règlement devrait s’appliquer aux données client autres que celles des comptes de paiement définis dans la directive (UE) 2015/2366. Les comptes de crédit couverts par une ligne de crédit qui ne peuvent pas être utilisés aux fins de l’exécution d’opérations de paiement à des tiers devraient entrer dans le champ d’application du présent règlement. Par conséquent, il est entendu que le présent règlement couvre l’accès aux données relatives aux détails des soldes, des conditions ou des transactions en lien avec des contrats de crédit hypothécaire, des prêts et des comptes d’épargne ainsi que les types de comptes qui n’entrent pas dans le champ d’application de la directive (UE) 2015/2366.
(13)Les données client entrant dans le champ d’application du présent règlement devraient comprendre les informations relatives à la durabilité permettant aux clients d’accéder plus facilement à des services financiers qui correspondent à leurs préférences en matière de durabilité et à leurs besoins en financements durables, conformément à la stratégie de la Commission pour le financement de la transition vers une économie durable. L’accès aux données relatives à la durabilité qui peuvent figurer dans les détails des soldes ou des transactions en lien avec une hypothèque, un crédit, un prêt ou un compte d’épargne, ainsi que l’accès aux données client relatives à la durabilité détenues par des entreprises d’investissement peuvent contribuer à faciliter l’accès aux données nécessaires pour accéder à la finance durable ou réaliser des investissements dans la transition écologique. En outre, les données client entrant dans le champ d’application du présent règlement devraient inclure les données relevant de l’évaluation de la solvabilité des entreprises, y compris des petites et moyennes entreprises, qui peuvent donner une meilleure idée des objectifs des petites entreprises en matière de durabilité. L’inclusion des données utilisées aux fins de l’évaluation de la solvabilité des entreprises devrait améliorer l’accès au financement et simplifier les demandes de prêts. Ces données devraient se limiter à des informations sur les entreprises et ne devraient pas porter atteinte aux droits de propriété intellectuelle.
(14)Les données client relatives à la prestation de services d’assurance non-vie sont essentielles à l’élaboration de produits et services d’assurance importants pour couvrir les besoins des clients en matière, par exemple, de protection des habitations, des véhicules et d’autres biens. Cependant, la collecte de ces données est souvent lourde et coûteuse et peut décourager les clients de chercher une couverture d’assurance optimale. Pour répondre à ce problème, il est donc nécessaire d’inclure ces services financiers dans le champ d’application du présent règlement. Les données client relatives aux produits d’assurance entrant dans le champ d’application du présent règlement devraient comprendre à la fois des informations sur les produits d’assurance, telles que des renseignements détaillés sur une couverture d’assurance, et des données spécifiques aux actifs assurés des consommateurs collectées aux fins d’une évaluation des exigences et des besoins de ces derniers. Le partage de ces données devrait permettre la mise au point d’outils personnalisés destinés aux clients, tels que des tableaux de bord de l’assurance qui pourraient aider les consommateurs à mieux gérer les risques auxquels ils sont exposés. Il pourrait également permettre aux clients d’obtenir des produits ciblant davantage leurs demandes et leurs besoins, notamment grâce à des conseils plus adaptés. Les clients pourraient ainsi bénéficier d’une couverture d’assurance plus optimale, et les consommateurs n’ayant pas accès à des services adaptés pourraient profiter d’une meilleure inclusion financière, ce grâce à une offre de couverture nouvelle ou plus complète. Le partage de données d’assurance pourrait également rendre la fourniture d’assurances plus efficace, en particulier aux étapes de la conception, de la souscription, de l’exécution des contrats, y compris en lien avec la gestion des sinistres, et de l’atténuation des risques.
(15)Le partage de données relatives à l’épargne-retraite professionnelle et individuelle présente un fort potentiel d’innovation pour les consommateurs. Les épargnants-retraite n’ont généralement pas une connaissance suffisante de leurs droits à pension, du fait que les données relatives à ces droits sont souvent dispersées entre différents détenteurs. Le partage de données relatives à l’épargne-retraite professionnelle et individuelle devrait participer à la mise au point d’outils de suivi des pensions permettant aux épargnants d’avoir une vue d’ensemble complète de leurs droits et de leurs revenus de retraite, tant dans un État membre en particulier que dans plusieurs États membres de l’Union à la fois (contexte transfrontière). Les données relatives aux droits à pension concernent notamment les droits à la retraite accumulés, les niveaux de prestation de retraite projetés, ainsi que les risques et les garanties des membres et des bénéficiaires de régimes de retraite professionnelle. L’accès aux données relatives aux pensions professionnelles est sans préjudice du droit social et du droit du travail nationaux concernant l’organisation des systèmes de retraite, y compris l’affiliation à des régimes et les résultats des conventions collectives.
(16)Les données relevant d’une évaluation de la solvabilité d’une entreprise entrant dans le champ d’application du présent règlement devraient comprendre les informations qu’une entreprise fournit aux établissements et aux prêteurs dans le cadre d’une procédure de demande de prêt ou d’une demande de notation de crédit. Cela inclut les demandes de prêts des micro, petites, moyennes et grandes entreprises. Il peut s’agir de données collectées par des établissements et des prêteurs, comme indiqué à l’annexe 2 des orientations de l’Autorité bancaire européenne sur l’octroi et le suivi des prêts. Ces données peuvent comprendre des états financiers et des projections financières, des informations sur les passifs financiers et les arriérés de paiement, des justificatifs de la propriété de la sûreté, des justificatifs de l’assurance de la sûreté et des informations sur les garanties. Des données supplémentaires peuvent être pertinentes si la demande de prêt concerne l’achat de biens immobiliers commerciaux ou la promotion immobilière.
(17)Puisque le présent règlement vise à imposer aux établissements financiers, lorsqu’ils agissent en tant que détenteurs de données, d’accorder l’accès à certaines catégories de données à la demande des clients et, lorsque les établissements financiers agissent en tant qu’utilisateurs de données, à permettre le partage de données sur la base de la permission des clients, il devrait fournir une liste des établissements financiers classés selon qu’ils agissent en tant que détenteurs de données, utilisateurs de données ou les deux. Il est ainsi entendu par «établissements financiers» les entités qui fournissent des produits financiers et des services financiers ou qui proposent des services d’information pertinents à des clients dans le secteur financier.
(18)Les méthodes employées par les utilisateurs de données pour combiner les sources traditionnelles et les sources nouvelles de données client relevant du champ d’application du présent règlement doivent être proportionnées afin de ne pas entraîner de risques d’exclusion financière pour les consommateurs. Les méthodes qui conduisent à une analyse plus fine ou plus complète de certaines catégories vulnérables de consommateurs, telles que les personnes à faible revenu, peuvent accroître le risque de conditions déloyales ou de pratiques de tarification différenciée telles que la facturation de primes différenciées. Le risque d’exclusion est accru dans le cas des produits et services dont le prix est fixé en fonction du profil du consommateur, notamment de l’évaluation des risques-clients et de l’évaluation de la solvabilité des personnes physiques, ainsi que dans le cas des produits et services liés à l’évaluation et à la tarification du risque des personnes physiques en lien avec l’assurance vie et l’assurance maladie. Compte tenu des risques, l’utilisation de données dans le cadre de ces produits et services devrait être soumise à des exigences spécifiques, de manière à protéger les consommateurs et leurs droits fondamentaux.
(19)Le périmètre d’utilisation des données défini dans le présent règlement et dans les orientations y afférentes (ci-après les «orientations») que doivent élaborer l’Autorité bancaire européenne (ABE) et l’Autorité européenne des assurances et des pensions professionnelles (AEAPP) devrait fournir un cadre proportionné régissant la manière dont il convient d’utiliser les données à caractère personnel d’un consommateur relevant du champ d’application du présent règlement. Le périmètre d’utilisation des données devrait assurer la cohérence entre le champ d’application du présent règlement, qui exclut les données relevant d’une évaluation de la solvabilité d’un consommateur ainsi que les données relatives aux assurances vie, santé et maladie de celui-ci, et le champ d’application des orientations, qui contiennent des recommandations sur la manière dont des types de données issues d’autres domaines du secteur financier relevant du champ d’application du présent règlement peuvent être utilisés pour fournir ces produits et services. Les orientations élaborées par l’ABE devraient expliquer comment d’autres types de données relevant du champ d’application du présent règlement pourraient être utilisés pour évaluer le risque de crédit associé à un consommateur. Les orientations élaborées par l’AEAPP devraient expliquer comment les données relevant du champ d’application du présent règlement pourraient être utilisées dans le cadre de produits et services liés à l’évaluation et à la tarification du risque en lien avec des produits d’assurance vie, santé et maladie. Les orientations devraient être élaborées d’une manière qui soit adaptée aux besoins du consommateur et proportionnée à la fourniture de ces produits et services.
(20)L’ABE et l’AEAPP devraient coopérer étroitement avec le comité européen de la protection des données au moment de l’élaboration de ces orientations, qui devraient s’appuyer sur les recommandations existantes en matière d’utilisation des informations des consommateurs dans le domaine du crédit à la consommation et du crédit hypothécaire, notamment les règles relatives à l’utilisation de l’évaluation de la solvabilité prévues par la directive 2008/48/CE du Parlement européen et du Conseil du 23 avril 2008 concernant les contrats de crédit aux consommateurs et abrogeant la directive 87/102/CEE du Conseil, les orientations de l’ABE sur l’octroi et le suivi des prêts et les orientations de l’ABE sur l’évaluation de la solvabilité élaborées au titre de la directive 2014/17/UE, ainsi que les lignes directrices du comité européen de la protection des données sur le traitement des données à caractère personnel.
(21)Les clients doivent pouvoir exercer un contrôle effectif sur leurs données et avoir suffisamment confiance pour gérer les permissions qu’ils ont accordées conformément au présent règlement. Les détenteurs de données devraient donc être tenus de fournir aux clients des tableaux de bord des permissions d’accès aux données financières communs et cohérents. Les tableaux de bord des permissions devraient permettre aux clients de gérer leurs permissions de manière éclairée et impartiale, ainsi que d’exercer un contrôle important sur la manière dont leurs données à caractère personnel et non personnel sont utilisées. Ils ne devraient pas être conçus de manière à encourager les clients à accorder ou retirer des permissions, ni de manière à les influencer indûment dans un sens ou dans l’autre. Les tableaux de bord des permissions devraient tenir compte, le cas échéant, des exigences en matière d’accessibilité prévues par la directive (UE) 2019/882 du Parlement européen et du Conseil. Lorsqu’ils fournissent un tableau de bord des permissions, les détenteurs de données pourraient faire appel à un schéma d’identification électronique notifié et service de confiance, tel qu’un portefeuille européen d’identité numérique délivré par un État membre, comme le prévoit la proposition modifiant le règlement (UE) nº 910/2014 en ce qui concerne l’établissement d’un cadre européen relatif à une identité numérique. Les détenteurs de données pourraient également avoir recours à des prestataires de services d’intermédiation de données, conformément au règlement (UE) 2022/868 du Parlement européen et du Conseil, pour fournir des tableaux de bord des permissions répondant aux exigences du présent règlement.
(22)Le tableau de bord des permissions devrait afficher les permissions accordées par un client, y compris celles relatives à des données à caractère personnel partagées sur la base du consentement ou nécessaires à l’exécution d’un contrat. Le tableau de bord des permissions devrait avertir le client, d’une manière normalisée, des conséquences contractuelles que pourrait avoir le retrait d’une permission, mais la gestion de ce risque devrait rester du ressort du client. Le tableau de bord des permissions devrait être utilisé pour gérer les permissions existantes. Les détenteurs de données devraient informer les utilisateurs de données en temps réel de tout retrait d’une permission. Le tableau de bord des permissions devrait contenir un relevé des permissions qui ont été retirées ou qui ont expiré pendant une période maximale de deux ans, afin de permettre au client de suivre ses permissions de manière éclairée et impartiale. Les utilisateurs de données devraient informer les détenteurs de données en temps réel de toute nouvelle permission accordée ou de toute permission rétablie par les clients, assortie de la durée de validité de la permission et d’un bref résumé de sa finalité. Les informations fournies sur le tableau de bord des permissions sont sans préjudice des exigences en matière d’information prévues par le règlement (UE) 2016/679.
(23)Afin que le principe de proportionnalité soit respecté, certains établissements financiers sont exclus du champ d’application du présent règlement parce que leur taille ou les services qu’ils fournissent rendrait trop difficile leur mise en conformité avec le présent règlement. C’est notamment le cas des institutions de retraite professionnelle gérant des régimes de retraite qui, pris ensemble, n’ont pas plus de quinze affiliés au total, ainsi que des intermédiaires d’assurance qui sont des microentreprises ou des petites ou moyennes entreprises. En outre, les petites ou moyennes entreprises agissant en tant que détenteurs de données relevant du champ d’application du présent règlement devraient être autorisées à mettre au point à plusieurs une interface de programmation d’application, afin de réduire les coûts pour chacune d’entre elles. Elles pourraient également faire appel à des fournisseurs externes de technologies qui gèrent des interfaces de programmation d’application de manière centralisée pour des établissements financiers et qui ne leur ferait payer qu’une faible redevance d’utilisation fixe, fonctionnant en grande partie sur la base du paiement à l’usage.
(24)Le présent règlement impose une nouvelle obligation juridique aux établissements financiers agissant en tant que détenteurs de données: partager des catégories spécifiques de données à la demande du client. Cette obligation devrait être précisée par la mise à disposition de normes généralement admises, de manière à garantir également une qualité suffisante des données partagées. Le détenteur de données devrait mettre les données client à disposition en continu aux fins et aux conditions pour lesquelles le client a donné sa permission à l’utilisateur de données. Cet accès continu pourrait prendre la forme de demandes multiples de mise à disposition des données client en vue de remplir le service convenu avec le client. Il pourrait également s’agir d’un accès unique aux données client. Si la responsabilité de la disponibilité et de la bonne qualité de l’interface incombe au détenteur de données, cette interface peut être fournie non seulement par ce dernier, mais aussi par un autre établissement financier, un fournisseur informatique externe, une association sectorielle ou un groupe d’établissements financiers, ou encore un organisme public d’un État membre. Pour les institutions de retraite professionnelle, l’interface peut être intégrée dans des tableaux de bord des retraites couvrant un ensemble plus large d’informations, pour autant qu’elle respecte les exigences du présent règlement.
(25)Afin de permettre les interactions contractuelles et techniques nécessaires à la mise en œuvre de l’accès aux données entre plusieurs établissements financiers, les détenteurs et les utilisateurs de données devraient être tenus de faire partie de systèmes de partage des données financières. Ces systèmes devraient élaborer des normes en matière de données et d’interfaces, des cadres contractuels communs et normalisés régissant l’accès à des ensembles de données spécifiques, ainsi que des règles de gouvernance applicables au partage de données. Afin de garantir le bon fonctionnement de ces systèmes, il est nécessaire d’établir des principes généraux pour leur gouvernance, y compris des règles relatives à une gouvernance inclusive et à la participation des détenteurs de données, des utilisateurs de données et des clients (afin de garantir une représentation équilibrée au sein des systèmes), des obligations de transparence et une procédure de recours et de révision efficace (notamment en ce qui concerne la prise de décision des systèmes). Les systèmes de partage des données financières doivent respecter les règles de l’Union dans les domaines de la protection des consommateurs et de la protection des données, du respect de la vie privée et de la concurrence. Les participants à ces systèmes sont également encouragés à élaborer des codes de conduite semblables à ceux établis par les responsables du traitement et les sous-traitants en vertu de l’article 40 du règlement (UE) 2016/679. Bien que ces systèmes puissent s’appuyer sur des initiatives de marché existantes, les exigences formulées dans le présent règlement devraient viser expressément les systèmes de partage des données financières ou les parties de ces systèmes que les acteurs du marché utilisent pour s’acquitter des obligations qui leur incombent en vertu du présent règlement, à partir de la date d’application de ces obligations.
(26)Un système de partage des données financières devrait consister en un accord collectif contractuel conclu entre détenteurs de données et utilisateurs de données afin de promouvoir l’efficacité et l’innovation technique en matière de partage de données financières au profit des clients. Conformément aux règles de concurrence de l’Union, un système de partage des données financières ne devrait imposer à ses membres que des restrictions qui sont nécessaires pour atteindre ses objectifs et qui sont proportionnées à ceux-ci. Il ne devrait pas donner à ses membres la possibilité d’empêcher, de restreindre ou de fausser la concurrence sur une partie importante du marché concerné.
(27)Afin de garantir l’efficacité du présent règlement, il convient, conformément à l’article 290 du traité sur le fonctionnement de l’Union européenne, de déléguer à la Commission le pouvoir d’adopter des actes précisant les modalités et caractéristiques d’un système de partage des données financières dans l’éventualité où un tel système ne serait pas mis au point par les détenteurs et utilisateurs de données. Il importe particulièrement que la Commission procède aux consultations appropriées durant son travail préparatoire, y compris au niveau des experts, et que ces consultations soient menées conformément aux principes définis dans l’accord interinstitutionnel du 13 avril 2016 «Mieux légiférer». En particulier, pour que l’égale participation à la préparation des actes délégués soit assurée, le Parlement européen et le Conseil reçoivent tous les documents en même temps que les experts des États membres, et leurs experts ont systématiquement accès aux réunions des groupes d’experts de la Commission traitant de la préparation des actes délégués.
(28)Les détenteurs de données et les utilisateurs de données devraient être autorisés à utiliser les normes de marché existantes lorsqu’ils élaborent des normes communes pour le partage obligatoire de données.
(29)Afin que les détenteurs de données aient un intérêt à fournir des interfaces de qualité pour la mise à disposition de données aux utilisateurs, ils devraient pouvoir demander à ces derniers une compensation raisonnable pour la mise en place d’interfaces de programmation d’application. Une compensation pour faciliter l’accès aux données garantirait une répartition équitable des coûts connexes entre détenteurs et utilisateurs de données dans la chaîne de valeur des données. Dans les cas où l’utilisateur de données est une PME, il convient d’assurer la proportionnalité aux petits acteurs du marché en limitant strictement la compensation aux coûts supportés pour faciliter l’accès aux données. Le modèle permettant de déterminer le niveau de cette compensation devrait être défini dans le cadre des systèmes de partage des données financières prévus par le présent règlement.
(30)Les clients devraient savoir quels sont leurs droits en cas de problème lors du partage de données et à qui s’adresser pour demander réparation. En conséquence, les membres d’un système de partage des données financières, à savoir les détenteurs de données et les utilisateurs de données, devraient être tenus de se mettre d’accord sur la responsabilité contractuelle en cas de violation de données ainsi que sur les modalités de règlement des litiges en matière de responsabilité qui pourraient survenir entre eux. Ces exigences devraient viser particulièrement à établir, dans tout contrat, des règles en matière de responsabilité ainsi que des obligations et droits clairs permettant de déterminer les responsabilités du détenteur et de l’utilisateur de données. Les questions de responsabilité relatives aux consommateurs en tant que personnes concernées devraient avoir pour fondement le règlement (UE) 2016/679, notamment le droit à réparation et la responsabilité au titre de l’article 82 dudit règlement.
(31)Afin de promouvoir la protection des consommateurs, de renforcer la confiance des clients et d’instaurer des conditions d’égalité, il est nécessaire de fixer des règles en matière d’éligibilité à l’accès aux données client. Ces règles devraient garantir que tous les utilisateurs de données sont agréés et surveillés par des autorités compétentes. N’auraient ainsi accès aux données que les établissements financiers réglementés ou les entreprises titulaires d’un agrément spécifique, prévu par le présent règlement, en tant que prestataire de services d’information financière . Des règles sur l’éligibilité des prestataires de services d’information financière sont nécessaires pour préserver la stabilité financière et l’intégrité des marchés et garantir la protection des consommateurs; en effet, ces prestataires fourniront des produits et des services financiers à des clients dans l’Union et auront accès à des données qui sont détenues par les établissements financiers et dont l’intégrité est essentielle pour préserver la capacité de ces établissements à continuer de fournir des services financiers de manière tout à fait sûre. De telles règles sont indispensables aussi pour garantir la bonne surveillance des prestataires de services d’information financière par les autorités compétentes, dans la logique de leur mission de préservation de la stabilité et de l’intégrité financières dans l’Union, et permettre ainsi à ces prestataires de fournir dans l’ensemble de l’Union les services pour lesquels ils sont agréés.
(32)Les utilisateurs de données relevant du champ d’application du présent règlement devraient être soumis aux exigences du règlement (UE) 2022/2554 du Parlement européen et du Conseil et être par conséquent tenus, afin d’exercer leurs activités, de se doter de normes strictes en matière de cyber-résilience. Ils devraient notamment disposer de capacités globales leur permettant de gérer rigoureusement et efficacement les risques liés aux TIC, ainsi que de mécanismes et de politiques spécifiques leur permettant de traiter tous les incidents liés aux TIC et de signaler les plus graves. En matière de traitement des risques liés aux TIC, les utilisateurs de données agréés et surveillés en tant que prestataires de services d’information financière en vertu du présent règlement devraient suivre une approche et des règles de principe identiques, qui tiennent compte de leur taille et de leur profil de risque global, ainsi que de la nature, de l’ampleur et de la complexité de leurs services, activités et opérations. Il convient dès lors d’inclure les prestataires de services d’information financière dans le champ d’application du règlement (UE) 2022/2554.
(33)Afin de permettre une surveillance efficace et d’éliminer la possibilité d’éluder ou de contourner la surveillance, il convient que les prestataires de services d’information financière soient légalement constitués dans l’Union ou, s’ils sont constitués dans un pays tiers, désignent un représentant légal dans l’Union. Pour que les exigences du présent règlement garantissent l’intégrité et la stabilité du système financier tout en protégeant les consommateurs, il faut que la surveillance exercée par les autorités compétentes pour en assurer le respect soit efficace. L’obligation faite aux prestataires de services d’information financière d’être légalement constitués dans l’Union ou de désigner un représentant légal dans l’Union n’équivaut pas à une localisation des données, puisque le présent règlement n’impose pas d’exigences supplémentaires en matière de traitement, et de stockage, des données à effectuer dans l’Union.
(34)Un prestataire de services d’information financière devrait être agréé dans la juridiction de l’État membre où il a son siège social ou statuaire, c’est-à-dire l’établissement principal dans lequel les fonctions principales et le contrôle opérationnel sont exercés. Quant aux prestataires de services d’information financière qui n’ont pas d’établissement dans l’Union mais doivent pouvoir accéder à des données dans l’Union et relèvent dès lors du présent règlement, ils devraient relever de la juridiction de l’État membre dans lequel ils ont désigné leur représentant légal, compte tenu de la fonction de représentation légale prévue par le présent règlement.
(35)Afin de favoriser la transparence en ce qui concerne l’accès aux données et les prestataires de services d’information financière, l’ABE devrait établir un registre des prestataires de services d’information financière agréés en vertu du présent règlement, ainsi que des systèmes de partage des données financières convenus entre détenteurs et utilisateurs de données.
(36)Il convient de conférer aux autorités compétentes les pouvoirs nécessaires pour surveiller la manière dont les acteurs du marché se conforment à l’obligation de fournir un accès aux données client qui, en vertu du présent règlement, incombe aux détenteurs de données, ainsi que pour surveiller les prestataires de services d’information financière. L’accès aux enregistrements pertinents d’échanges de données détenus par un opérateur de télécommunications ainsi que la possibilité de saisir les documents pertinents sur place sont des pouvoirs importants et nécessaires pour détecter et prouver l’existence d’infractions au présent règlement. Les autorités compétentes devraient donc avoir le pouvoir d’exiger les enregistrements qui présentent un intérêt pour une enquête, dans la mesure où le droit national l’autorise. Les autorités compétentes devraient également coopérer avec les autorités de contrôle instituées en vertu du règlement (UE) 2016/679 dans l’exécution de leurs missions et dans l’exercice de leurs pouvoirs au titre dudit règlement.
(37)Étant donné que les établissements financiers et les prestataires de services d’information financière peuvent être établis dans différents États membres et être surveillés par différentes autorités compétentes, l’application du présent règlement devrait être facilitée par une coopération étroite entre les autorités compétentes concernées, à travers l’échange mutuel d’informations et la fourniture d’une assistance dans le cadre des activités de surveillance concernées.
(38)Afin d’assurer les mêmes conditions d’exercice dans le domaine des pouvoirs de sanction, les États membres devraient être tenus de prévoir des sanctions administratives effectives, proportionnées et dissuasives, et notamment des astreintes, ainsi que des mesures administratives pour infraction aux dispositions du présent règlement. Ces sanctions administratives, ces astreintes et ces mesures administratives devraient satisfaire à certaines exigences minimales, concernant, notamment, les pouvoirs minimaux à conférer aux autorités compétentes pour qu’elles puissent les imposer, les critères qu’elles devraient prendre en considération lorsqu’elles les imposent, et l’obligation de les publier et d’en faire rapport. Les États membres devraient établir des règles spécifiques et des mécanismes efficaces concernant l’application des astreintes.
(39)Outre des sanctions et mesures administratives, les autorités compétentes devraient être habilitées à infliger des astreintes aux prestataires de services d’information financière et aux membres de leur organe de direction qui sont reconnus responsables d’une infraction en cours ou qui sont tenus de se conformer à une injonction d’une autorité compétente chargée de l’enquête. Puisque les astreintes ont pour finalité de contraindre les personnes physiques ou morales à obtempérer à une injonction de l’autorité compétente, par exemple celle d’accepter d’être interrogé ou de fournir des informations, ou de mettre fin à une infraction, leur application ne devrait pas empêcher les autorités compétentes d’infliger des sanctions administratives ultérieures pour la même infraction. Sauf si les États membres en disposent autrement, les astreintes devraient être calculées sur une base journalière.
(40)Quelle que soit leur dénomination en droit national, des formes de procédure d’exécution accélérée ou d’accords de règlement existent dans de nombreux États membres et s’y substituent aux procédures de sanction formelles. Une procédure d’exécution accélérée commence généralement après la conclusion d’une enquête et l’adoption de la décision d’ouvrir une procédure de sanction. En raison de ses étapes simplifiées, la procédure d’exécution accélérée est plus courte qu’une procédure formelle. Dans le cadre d’un accord de règlement, les parties faisant l’objet de l’enquête menée par une autorité compétente conviennent généralement de mettre fin précocement à cette enquête, le plus souvent en acceptant de porter la responsabilité d’actes répréhensibles.
(41)S’il ne semble pas approprié, au regard de la diversité des approches juridiques adoptées au niveau national, de chercher à harmoniser au niveau de l’Union les procédures d’exécution accélérées mises en place par de nombreux États membres, il convient de reconnaître que ces méthodes permettent aux autorités compétentes de traiter les dossiers d’infraction d’une manière plus rapide, moins coûteuse et globalement efficace dans certaines circonstances, et devraient donc être encouragées. Toutefois, les États membres ne devraient pas être obligés d’intégrer ce type de méthodes d’exécution dans leur cadre juridique, ni les autorités compétentes d’y recourir si elles ne le jugent pas approprié. Lorsqu’ils choisissent d’habiliter leurs autorités compétentes à utiliser ces méthodes d’exécution, les États membres devraient notifier à la Commission cette décision et les différentes mesures régissant ces pouvoirs.
(42)Les autorités nationales compétentes devraient être habilitées par les États membres à imposer ce type de sanctions administratives et de mesures administratives aux prestataires de services d’information financière et aux autres personnes physiques ou morales, le cas échéant, afin de remédier à la situation d’infraction. L’éventail des sanctions et des mesures devrait être suffisamment large pour permettre aux États membres et aux autorités compétentes de tenir compte des différences entre prestataires de services d’information financière, en ce qui concerne leur taille, leurs caractéristiques et la nature de leurs activités.
(43)La publication d’une sanction administrative ou d’une mesure administrative pour infraction aux dispositions du présent règlement peut avoir un puissant effet dissuasif sur la répétition de ce type d’infraction. La publication informe également les autres entités des risques associés au prestataire de services d’information financière sanctionné avant que ne soit nouée une relation d’affaires et aide les autorités compétentes d’autres États membres à faire face aux risques associés à un prestataire de services de paiement lorsqu’il exerce ses activités dans leur État membre sur une base transfrontière. Pour ces raisons, la publication des décisions relatives aux sanctions et mesures administratives devrait être autorisée pour autant qu’elle concerne des personnes morales. En prenant la décision de publier ou non une sanction administrative ou une mesure administrative, les autorités compétentes devraient tenir compte de la gravité de l’infraction et de l’effet dissuasif que cette publication est susceptible de produire. Toutefois, toute publication de ce type concernant des personnes physiques est susceptible de porter atteinte de manière disproportionnée aux droits que leur reconnaissent la charte des droits fondamentaux et la législation de l’Union applicable en matière de protection des données. La publication devrait dès lors être anonymisée, à moins que l’autorité compétente ne juge nécessaire de publier des décisions contenant des données à caractère personnel aux fins de l’application effective du présent règlement, y compris dans le cas de déclarations publiques ou d’interdictions temporaires. Dans ce cas, l’autorité compétente motive sa décision.
(44)L’échange d’informations et la fourniture d’une assistance entre autorités compétentes des États membres sont essentiels aux fins du présent règlement. En conséquence, la coopération entre autorités ne devrait pas être soumise à des conditions restrictives déraisonnables.
(45)L’accès transfrontière des prestataires de services d’information financière aux données devrait être autorisé en vertu de la libre prestation de services ou de la liberté d’établissement. Un prestataire de services d’information financière souhaitant avoir accès à des données détenues par un détenteur de données dans un autre État membre devrait notifier son intention à son autorité compétente, en lui fournissant des informations sur le type de données auquel il souhaite accéder, sur le système de partage des données financières dont il est membre et sur les États membres dans lesquels il souhaite accéder aux données.
(46)Les objectifs du présent règlement, à savoir permettre au client d’exercer un contrôle effectif sur ses données et remédier à l’absence de droits d’accès aux données client détenues par les détenteurs de données, ne peuvent pas être atteints de manière suffisante par les États membres en raison de leur nature transfrontière, mais peuvent l’être mieux au niveau de l’Union grâce à la création d’un cadre permettant le développement d’un marché transfrontière plus vaste dans lequel ces données seront accessibles. L’Union peut prendre des mesures conformément au principe de subsidiarité énoncé à l’article 5 du traité sur l’Union européenne. Conformément au principe de proportionnalité tel qu’énoncé audit article, le présent règlement n’excède pas ce qui est nécessaire pour atteindre ces objectifs.
(47)La proposition de règlement sur les données [règlement (UE) XX] établit un cadre horizontal pour l’accès aux données et leur utilisation dans l’ensemble de l’Union. Le présent règlement complétant et précisant les règles énoncées dans ladite proposition [règlement (UE) XX], ces règles s’appliquent donc aussi au partage des données qu’il régit. Il s’agit notamment de dispositions sur les conditions auxquelles les détenteurs peuvent mettre des données à la disposition des destinataires, sur les compensations, sur les organes de règlement des litiges et la facilitation d’accords entre les parties au partage des données, sur les mesures techniques de protection, sur l’accès aux données et le transfert de données à l’échelle internationale, ainsi que sur l’utilisation ou la divulgation de données avec autorisation.
(48)Le règlement (UE) 2016/679 s’applique en cas de traitement de données à caractère personnel. Il fixe les droits d’une personne concernée, et notamment le droit d’accès à ses données à caractère personnel et le droit à la portabilité de ces données. Le présent règlement est sans préjudice des droits que le règlement (UE) 2016/679 confère aux personnes concernées, y compris le droit d’accès et le droit à la portabilité des données. Le présent règlement crée l’obligation légale de partager les données client à caractère personnel et non personnel à la demande du client et rend obligatoire la faisabilité technique de l’accès à tous les types de données relevant de son champ d’application ainsi que de leur partage. L’octroi de la permission d’un client est sans préjudice des obligations incombant aux utilisateurs de données en vertu de l’article 6 du règlement (UE) 2016/679. Les données à caractère personnel mises à la disposition d’un utilisateur de données et partagées avec lui devraient être traitées aux seules fins des services fournis par celui-ci lorsqu’il existe une base juridique valable en vertu de l’article 6, paragraphe 1, du règlement (UE) 2016/679 et, le cas échéant, lorsque les exigences de l’article 9 dudit règlement concernant le traitement de catégories particulières de données sont remplies.
(49)Le présent règlement s’appuie sur les dispositions relatives à la «banque ouverte» de la directive (UE) 2015/2366 et les complète. Il est en outre pleinement conforme au règlement (UE).../202.. du Parlement européen et du Conseil concernant les services de paiement et modifiant le règlement (UE) nº 1093/2010 et la directive (UE).../202.. du Parlement européen et du Conseil concernant les services de paiement et les services de monnaie électronique, modifiant les directives 2013/36/UE et 98/26/CE et abrogeant les directives (UE) 2015/2355 et 2009/110/CE. Le présent règlement complète les dispositions déjà en vigueur en matière de «banque ouverte» de la directive (UE) 2015/2366, qui réglementent l’accès aux données des comptes de paiement détenues par les prestataires de services de paiement gestionnaires de comptes. Il s’appuie sur les enseignements qui ont été tirés en matière de «banque ouverte» dans le cadre du réexamen de la directive (UE) 2015/2366. Le présent règlement garantit la cohérence entre l’accès aux données financières et la banque ouverte lorsque des mesures supplémentaires sont nécessaires, notamment en ce qui concerne les tableaux de bord des permissions, l’obligation légale d’accorder un accès direct aux données client et l’obligation pour les détenteurs de données de mettre en place des interfaces.
(50)Le présent règlement ne porte pas atteinte aux dispositions en matière d’accès aux données et de partage des données figurant dans la législation de l’Union relative aux services financiers, à savoir: i) les dispositions concernant l’accès aux indices de référence et le régime d’accès aux produits dérivés cotés entre plates-formes de négociation et contreparties centrales énoncées dans le règlement (UE) nº 600/2014 du Parlement européen et du Conseil, ii) les règles en matière d’accès des prêteurs aux bases de données prévues par la directive 2014/17/UE du Parlement européen et du Conseil, iii) les règles en matière d’accès aux référentiels des titrisations prévues par le règlement (UE) 2017/2402 du Parlement européen et du Conseil, iv) les règles concernant le droit de demander un relevé de sinistres à un assureur et l’accès aux référentiels centraux et aux données de base nécessaires au règlement des sinistres prévues par la directive 2009/103/CE du Parlement européen et du Conseil, v) le droit d’accéder à toutes les données à caractère personnel nécessaires aux fournisseurs de produits paneuropéens d’épargne-retraite individuelle, et de les leur transmettre, prévu par le règlement (UE) 2019/1238 du Parlement européen et du Conseil, et vi) les dispositions de la directive (UE) 2018/843 du Parlement européen et du Conseil relatives à l’externalisation. En outre, le présent règlement n’a pas d’incidence sur l’application des règles nationales ou des règles de l’UE en matière de concurrence, ni sur l’application du traité sur le fonctionnement de l’Union européenne et de tout acte dérivé de l’Union. Le présent règlement est également sans préjudice de la possibilité d’accéder aux données, de les partager et de les utiliser sur une base purement contractuelle, sans invoquer les obligations qu’il établit en matière d’accès aux données.
(51)Étant donné que le partage des données relatives aux comptes de paiement relève d’un régime différent, défini par la directive (UE) 2015/2366, il convient que le présent règlement contienne une clause de réexamen permettant à la Commission d’examiner si les règles instaurées par celui-ci influent sur la manière dont les prestataires de services d’information sur les comptes accèdent aux données et s’il serait opportun de rationaliser les règles de partage des données applicables à ces prestataires.
(52)Étant donné que l’ABE, l’AEAPP et l’AEMF devraient être mandatées pour exercer leurs pouvoirs à l’égard des prestataires de services d’information financière, il est nécessaire de veiller à ce qu’elles puissent exercer l’ensemble de leurs pouvoirs et exécuter l’ensemble de leurs missions afin d’atteindre l’objectif de protéger l’intérêt public en contribuant à la stabilité et à l’efficacité du système financier à court, moyen et long terme, pour l’économie de l’Union, ses citoyens et ses entreprises, et de veiller à ce que les prestataires de services d’information financière soient couverts par les règlements (UE) nº 1093/2010, (UE) nº 1094/2010 et (UE) nº 1095/2010 du Parlement européen et du Conseil. Il convient dès lors de modifier lesdits règlements en conséquence.
(53)Il convient de reporter la date d’application du présent règlement de XX mois afin de permettre l’adoption des normes techniques de réglementation et des actes délégués qui sont nécessaires pour préciser certains éléments du présent règlement.
(54)Le contrôleur européen de la protection des données a été consulté conformément à l’article 42, paragraphe 2, du règlement (UE) 2018/1725 du Parlement européen et du Conseil et a rendu un avis le [……….],
ONT ADOPTÉ LE PRÉSENT RÈGLEMENT:
TITRE I
Objet, champ d’application et définitions
Article premier
Objet
Le présent règlement établit des règles relatives à l’accès à certaines catégories de données client relevant du domaine des services financiers, à leur partage et à leur utilisation.
Le présent règlement établit également des règles concernant l’agrément et le fonctionnement des prestataires de services d’information financière.
Article 2
Champ d’application
1.Le présent règlement s’applique aux catégories suivantes de données client:
a)les données relatives aux contrats de crédit hypothécaire, aux prêts et aux comptes, à l’exception des comptes de paiement au sens de la directive (UE) 2015/2366 sur les services de paiement, y compris les données sur les conditions, les soldes et les transactions;
b)les données relatives à l’épargne et aux investissements dans des instruments financiers, des produits d’investissement fondés sur l’assurance, des crypto-actifs, des biens immobiliers et d’autres actifs financiers liés, ainsi qu’aux avantages économiques tirés de ces actifs, y compris les données collectées aux fins de la réalisation d’une évaluation de l’adéquation et du caractère approprié conformément à l’article 25 de la directive 2014/65/UE du Parlement européen et du Conseil;
c)les données relatives aux droits à pension dans le cadre de régimes de retraite professionnelle, conformément à la directive 2009/138/CE et à la directive (UE) 2016/2341 du Parlement européen et du Conseil;
d)les données relatives aux droits à pension dans le cadre de la fourniture de produits paneuropéens d’épargne-retraite individuelle (PEPP), conformément au règlement (UE) 2019/1238;
e)les données relatives aux produits d’assurance non-vie conformément à la directive 2009/138/CE, à l’exception des produits d’assurance maladie et santé, y compris les données collectées aux fins d’apprécier les exigences et les besoins du client conformément à l’article 20 de la directive (UE) 2016/97 du Parlement européen et du Conseil et les données collectées aux fins d’une évaluation de l’adéquation et du caractère approprié conformément à l’article 30 de ladite directive;
f)les données relevant d’une évaluation de la solvabilité d’une entreprise qui sont collectées dans le cadre d’une procédure de demande de prêt ou d’une demande de notation de crédit.
2.Le présent règlement s’applique aux entités suivantes lorsqu’elles agissent en tant que détenteurs de données ou en tant qu’utilisateurs de données:
a)les établissements de crédit;
b)les établissements de paiement, y compris les prestataires de services d’information sur les comptes et les établissements de paiement exemptés en vertu de la directive (UE) 2015/2366;
c)les établissements de monnaie électronique, y compris les établissements de monnaie électronique exemptés en vertu de la directive 2009/110/CE du Parlement européen et du Conseil;
d)les entreprises d’investissement;
e)les prestataires de services sur crypto-actifs;
f)les émetteurs de jetons se référant à un ou des actifs;
g)les gestionnaires de fonds d’investissement alternatifs;
h)les sociétés de gestion d’organismes de placement collectif en valeurs mobilières;
i)les entreprises d’assurance et de réassurance;
j)les intermédiaires d’assurance et les intermédiaires d’assurance à titre accessoire;
k)les institutions de retraite professionnelle;
l)les agences de notation de crédit;
m)les prestataires de services de financement participatif;
n)les fournisseurs de PEPP;
o)les prestataires de services d’information sur les comptes.
3.Le présent règlement ne s’applique pas aux entités visées à l’article 2, paragraphe 3, points a) à e), du règlement (UE) 2022/2554.
4.Le présent règlement ne porte pas atteinte à l’application des autres actes juridiques de l’Union concernant l’accès aux données client visées au paragraphe 1 et leur partage, sauf disposition spécifique contraire du présent règlement.
Article 3
Définitions
Aux fins du présent règlement, on entend par:
1)«consommateur», une personne physique qui agit dans un but autre que son activité commerciale ou professionnelle;
2)«client», une personne physique ou morale qui utilise des produits et services financiers;
3)«données client», les données à caractère personnel et non personnel qui sont collectées, conservées et traitées d’une autre manière par un établissement financier dans le cadre de ses relations commerciales normales avec ses clients et qui recouvrent à la fois les données fournies par les clients et les données générées à la suite d’une interaction entre un client et l’établissement financier;
4)«autorité compétente», l’autorité désignée par chaque État membre conformément à l’article 17 et, pour les établissements financiers, l’une des autorités compétentes énumérées à l’article 46 du règlement (UE) 2022/2554;
5)«détenteur de données», un établissement financier, autre qu’un prestataire de services d’information sur les comptes, qui collecte, conserve et traite d’une autre manière les données visées à l’article 2, paragraphe 1;
6)«utilisateur de données», une entité visée à l’article 2, paragraphe 2, qui, après avoir reçu la permission d’un client, dispose d’un accès licite aux données client de ce dernier, telles que visées à l’article 2, paragraphe 1;
7)«prestataire de services d’information financière», un utilisateur de données ayant reçu, en vertu de l’article 14, un agrément lui permettant d’accéder aux données client visées à l’article 2, paragraphe 1, aux fins de la fourniture de services d’information financière;
8)«établissement financier», une entité visée à l’article 2, paragraphe 2, points a) à n), qui est soit un détenteur de données, soit un utilisateur de données, soit les deux, aux fins du présent règlement;
9)«compte d’investissement», tout registre géré par une entreprise d’investissement, un établissement de crédit ou un courtier d’assurance concernant les instruments financiers ou les produits d’investissement fondés sur l’assurance actuellement détenus par un client, y compris les transactions passées et autres points de données liés aux événements du cycle de vie de ces instruments;
10)«données à caractère non personnel», les données autres que les données à caractère personnel au sens de l’article 4, point 1), du règlement (UE) 2016/679;
11)«données à caractère personnel», les données à caractère personnel au sens de l’article 4, point 1), du règlement (UE) 2016/679;
12)«établissement de crédit», un établissement de crédit au sens de l’article 4, paragraphe 1, point 1), du règlement (UE) nº 575/2013 du Parlement européen et du Conseil;
13)«entreprise d’investissement», une entreprise d’investissement au sens de l’article 4, paragraphe 1, point 1), de la directive 2014/65/UE;
14)«prestataire de services sur crypto-actifs», un prestataire de services sur crypto-actifs au sens de l’article 3, paragraphe 1, point 15), du règlement (UE) 2023/1114 du Parlement européen et du Conseil;
15)«émetteur de jetons se référant à un ou des actifs», un émetteur de jetons se référant à un ou des actifs qui est agréé en vertu de l’article 21 du règlement (UE) 2023/1114;
16)«établissement de paiement», un établissement de paiement au sens de l’article 4, point 4), de la directive (UE) 2015/2366;
17)«prestataire de services d’information sur les comptes», un prestataire de services d’information sur les comptes visé à l’article 33, paragraphe 1, de la directive (UE) 2015/2366;
18)«établissement de monnaie électronique», un établissement de monnaie électronique au sens de l’article 2, point 1), de la directive 2009/110/CE;
19)«établissement de monnaie électronique exempté en vertu de la directive 2009/110/CE», un établissement de monnaie électronique bénéficiant d’une exemption prévue par l’article 9, paragraphe 1, de la directive 2009/110/CE;
20)«gestionnaire de fonds d’investissement alternatifs», un gestionnaire de fonds d’investissement alternatifs au sens de l’article 4, paragraphe 1, point b), de la directive 2011/61/UE du Parlement européen et du Conseil;
21)«société de gestion d’organismes de placement collectif en valeurs mobilières», une société de gestion au sens de l’article 2, paragraphe 1, point b), de la directive 2009/65/CE du Parlement européen et du Conseil;
22)«entreprise d’assurance», une entreprise d’assurance au sens de l’article 13, point 1), de la directive 2009/138/CE;
23)«entreprise de réassurance», une entreprise de réassurance au sens de l’article 13, point 4), de la directive 2009/138/CE;
24)«intermédiaire d’assurance», un intermédiaire d’assurance au sens de l’article 2, paragraphe 1, point 3), de la directive (UE) 2016/97 du Parlement européen et du Conseil;
25)«intermédiaire d’assurance à titre accessoire», un intermédiaire d’assurance à titre accessoire au sens de l’article 2, paragraphe 1, point 4), de la directive (UE) 2016/97;
26)«institution de retraite professionnelle», une institution de retraite professionnelle au sens de l’article 6, point 1), de la directive (UE) 2016/2341;
27)«agence de notation de crédit», une agence de notation de crédit au sens de l’article 3, paragraphe 1, point b), du règlement (CE) nº 1060/2009 du Parlement européen et du Conseil;
28)«fournisseur de PEPP», un fournisseur de PEPP au sens de l’article 2, point 15), du règlement (UE) 2019/1238 du Parlement européen et du Conseil;
29)«représentant légal», une personne physique qui est domiciliée dans l’Union ou une personne morale qui a son siège statutaire dans l’Union et qui, ayant été expressément désignée par un prestataire de services d’information financière établi dans un pays tiers, agit pour le compte de ce dernier vis-à-vis des autorités, des clients, des organismes et des contreparties auxquels ce prestataire a affaire dans l’Union, en ce qui concerne les obligations qui incombent à ce prestataire au titre du présent règlement.
TITRE II
Accès aux données
Article 4
Obligation de mettre les données à la disposition du client
À la demande d’un client soumise par voie électronique, le détenteur de données met à sa disposition les données visées à l’article 2, paragraphe 1, dans les meilleurs délais, gratuitement, en continu et en temps réel.
Article 5
Obligation incombant à un détenteur de données de mettre des données client à la disposition d’un utilisateur de données
1.À la demande d’un client soumise par voie électronique, le détenteur de données met à la disposition d’un utilisateur de données les données client de ce client, telles que visées à l’article 2, paragraphe 1, aux fins pour lesquelles celui-ci a donné sa permission à l’utilisateur de données. Ces données client sont mises à la disposition de l’utilisateur de données dans les meilleurs délais, en continu et en temps réel.
2.Le détenteur de données ne peut demander à un utilisateur de données une compensation pour la mise à disposition de données client conformément au paragraphe 1 que si ces données client sont mises à la disposition de l’utilisateur de données conformément aux règles et modalités d’un système de partage des données financières, telles que prévues aux articles 9 et 10, ou sont mises à disposition en vertu de l’article 11.
3.Lorsqu’il met à disposition des données conformément au paragraphe 1, le détenteur de données:
a)met les données client à la disposition de l’utilisateur de données dans un format fondé sur des normes généralement admises et au moins de la même qualité que celle dont il bénéficie;
b)communique de manière sécurisée avec l’utilisateur de données en garantissant un niveau de sécurité approprié pour le traitement et la transmission des données client;
c)demande à l’utilisateur de données de démontrer qu’il a obtenu du client la permission d’accéder aux données client de ce dernier que lui-même détient;
d)fournit au client un tableau de bord des permissions, pour le suivi et la gestion des permissions conformément à l’article 8;
e)respecte la confidentialité des secrets d’affaires et les droits de propriété intellectuelle dans le cadre de tout accès aux données client ayant lieu conformément à l’article 5, paragraphe 1.
Article 6
Obligations incombant à un utilisateur de données qui reçoit des données client
1.Un utilisateur de données n’est éligible à un accès à des données client en vertu de l’article 5, paragraphe 1, que s’il a préalablement obtenu d’une autorité compétente un agrément en tant qu’établissement de crédit, ou en tant que prestataire de services d’information financière conformément à l’article 14.
2.Un utilisateur de données n’accède à des données client mises à sa disposition en vertu de l’article 5, paragraphe 1, qu’aux fins et aux conditions pour lesquelles le client lui a donné sa permission. Il efface ces données client lorsqu’il n’en a plus besoin aux fins pour lesquelles le client lui a donné sa permission.
3.Un client peut retirer la permission qu’il a donnée à un utilisateur de données. Lorsque le traitement de données est nécessaire à l’exécution d’un contrat, le client peut retirer la permission qu’il a donnée de mettre ses données client à la disposition d’un utilisateur de données dans le respect des obligations contractuelles auxquelles il est soumis.
4.Afin d’assurer une gestion efficace des données client, l’utilisateur de données:
a)ne traite aucune donnée client à des fins autres que la prestation du service explicitement demandé par le client;
b)respecte la confidentialité des secrets d’affaires et les droits de propriété intellectuelle dans le cadre de tout accès aux données client ayant lieu conformément à l’article 5, paragraphe 1;
c)prend des mesures techniques, juridiques et organisationnelles appropriées afin d’empêcher le transfert de données à caractère non personnel ou l’accès à celles-ci dans les cas où ceux-ci sont illicites au regard du droit de l’Union ou du droit national d’un État membre;
d)prend les mesures nécessaires pour garantir un niveau de sécurité approprié pour la conservation, le traitement et la transmission des données client à caractère non personnel;
e)ne traite pas les données client à des fins publicitaires, sauf à des fins de prospection conformément au droit de l’Union et au droit national;
f)s’il fait partie d’un groupe d’entreprises, l’accès aux données client visées à l’article 2, paragraphe 1, et leur traitement, ne sont effectués que par l’entité du groupe qui agit en tant qu’utilisateur de données.
TITRE III
Utilisation responsable des données et tableaux de bord des permissions
Article 7
Périmètre d’utilisation des données
1.Le traitement des données client visées à l’article 2, paragraphe 1, du présent règlement qui constituent des données à caractère personnel est limité à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées.
2.L’Autorité bancaire européenne (ABE) élabore des orientations, conformément à l’article 16 du règlement (UE) nº 1093/2010, concernant la mise en œuvre du paragraphe 1 du présent article pour les produits et services liés à la note de crédit du consommateur.
3.L’Autorité européenne des assurances et des pensions professionnelles (AEAPP) élabore des orientations, conformément à l’article 16 du règlement (UE) nº 1094/2010, concernant la mise en œuvre du paragraphe 1 du présent article pour les produits et services liés à l’évaluation du risque associé à un consommateur et à la fixation d’un prix pour celui-ci dans le cadre de produits d’assurance vie, santé et maladie.
4.Lors de l’élaboration des orientations visées aux paragraphes 2 et 3 du présent article, l’AEAPP et l’ABE coopèrent étroitement avec le comité européen de la protection des données institué par le règlement (UE) 2016/679.
Article 8
Tableau de bord des permissions d’accès aux données financières
1.Le détenteur de données fournit au client un tableau de bord des permissions pour permettre à celui-ci de suivre et de gérer les permissions qu’il a données à des utilisateurs de données.
2.Le tableau de bord des permissions:
a)procure au client une vue d’ensemble des différentes permissions en cours de validité données à des utilisateurs de données, y compris pour chaque permission:
i)le nom de l’utilisateur de données auquel l’accès a été accordé;
ii)le compte client, le produit financier ou le service financier auquel l’accès a été accordé;
iii)la finalité de la permission;
iv)les catégories de données partagées;
v)la durée de validité de la permission;
b)permet au client de retirer une permission donnée à un utilisateur de données;
c)permet au client de rétablir toute permission retirée;
d)contient un enregistrement, couvrant une durée de deux ans, des permissions qui ont été retirées ou qui ont expiré.
3.Le détenteur de données veille à ce que le tableau de bord des permissions soit facile à trouver dans son interface utilisateur et à ce que les informations qui y sont affichées soient claires, exactes et facilement compréhensibles par le client.
4.Le détenteur de données et l’utilisateur de données auquel une permission a été accordée par un client coopèrent pour mettre les informations à la disposition du client via le tableau de bord en temps réel. Pour satisfaire aux obligations énumérées au paragraphe 2, points a), b), c) et d), du présent article:
a)lorsqu’un client apporte des modifications, via le tableau de bord, à une permission donnée à un utilisateur de données, le détenteur de données en informe l’utilisateur de données;
b)l’utilisateur de données informe le détenteur de données de toute nouvelle permission accordée par un client concernant des données client détenues par ce détenteur, en indiquant notamment:
i)la finalité de la permission accordée par le client;
ii)la durée de validité de la permission;
iii)les catégories de données concernées.
TITRE IV
Systèmes de partage des données financières
Article 9
Affiliation à un système de partage des données financières
1.Dans un délai de 18 mois à compter de l’entrée en vigueur du présent règlement, les détenteurs de données et les utilisateurs de données s’affilient à un système de partage des données financières régissant l’accès aux données client conformément à l’article 10.
2.Les détenteurs de données et les utilisateurs de données peuvent devenir membres de plusieurs systèmes de partage des données financières.
Tout partage de données est effectué conformément aux règles et modalités d’un système de partage des données financières dont sont membres à la fois l’utilisateur de données et le détenteur de données.
Article 10
Gouvernance et contenu d’un système de partage des données financières
1.Un système de partage des données financières présente les caractéristiques suivantes:
a)ses membres comprennent:
i)des détenteurs de données et des utilisateurs de données représentant une proportion significative du marché du produit ou du service concerné, chaque partie étant représentée à parts égales dans les processus décisionnels internes du système et jouissant d’un poids égal dans toute procédure de vote; lorsqu’un membre est à la fois un détenteur et un utilisateur de données, il est compté pareillement comme membre des deux côtés;
ii)des organisations de clients et des associations de consommateurs;
b)les règles applicables aux membres du système de partage des données financières s’appliquent de la même manière à tous les membres, et aucun membre ne bénéficie d’un traitement de faveur ou différencié injustifié;
c)les règles d’affiliation au système de partage des données financières garantissent que le système est ouvert à la participation de tout détenteur de données et de tout utilisateur de données sur la base de critères objectifs et que tous les membres sont traités de manière juste et équitable;
d)le système de partage des données financières n’impose aucun contrôle ni aucune condition supplémentaire pour le partage de données autres que ceux prévus par le présent règlement ou par d’autres dispositions applicables du droit de l’Union;
e)le système de partage des données financières comprend un mécanisme permettant de modifier ses règles, à la suite d’une analyse d’impact et sous réserve de l’accord de la majorité de chacune des communautés de détenteurs de données et d’utilisateurs de données;
f)le système de partage des données financières comprend des règles de transparence envers ses membres et, le cas échéant, de compte rendu à ses membres;
g)le système de partage des données financières comprend les normes communes pour les données et les interfaces techniques nécessaires pour permettre aux clients de demander le partage de données conformément à l’article 5, paragraphe 1. Les normes communes pour les données et les interfaces techniques que les membres conviennent d’utiliser peuvent être élaborées par des membres ou par d’autres parties ou organismes;
h)le système de partage des données financières établit un modèle pour déterminer la compensation maximale qu’un détenteur de données est en droit de facturer pour la mise à disposition de données, via une interface technique appropriée de partage de données avec des utilisateurs de données, conforme aux normes communes élaborées au titre du point g). Ce modèle obéit aux principes suivants:
i)il limite la compensation à une compensation raisonnable, directement liée à la mise à disposition des données à l’utilisateur de données, et imputable à sa demande;
ii)il est fondé sur une méthode objective, transparente et non discriminatoire convenue par les membres;
iii)il est fondé sur des données de marché complètes collectées auprès des détenteurs et des utilisateurs de données sur chacun des éléments de coût à prendre en considération, qui est clairement identifié dans le cadre du modèle;
iv)il fait l’objet d’un suivi et d’un réexamen réguliers visant à tenir compte des progrès technologiques;
v)il est conçu de manière à orienter la compensation vers les montants les plus faibles pratiqués sur le marché;
vi)il se limite aux demandes de données client visées à l’article 2, paragraphe 1, ou est proportionné aux ensembles de données connexes relevant dudit article, dans le cas de demandes de données combinées.
Lorsque l’utilisateur de données est une micro, petite ou moyenne entreprise au sens de l’article 2 de l’annexe de la recommandation 2003/361/CE de la Commission du 6 mai 2003, la compensation convenue n’excède pas les coûts qui sont directement liés à la mise à disposition des données au destinataire des données et qui sont imputables à la demande;
i)le système de partage des données financières détermine la responsabilité contractuelle de ses membres, y compris lorsque les données sont inexactes ou de qualité insuffisante, que leur est sécurité compromise ou qu’elles sont utilisées de manière abusive. Dans le cas des données à caractère personnel, les dispositions en matière de responsabilité du système de partage des données financières sont conformes aux dispositions du règlement (UE) 2016/679;
j)le système de partage des données financières prévoit un mécanisme de règlement des litiges indépendant, impartial, transparent et efficace, pour le règlement des litiges entre ses membres ou des problèmes rencontrés par ses membres, qui satisfasse aux exigences de qualité prévues par la directive 2013/11/UE du Parlement européen et du Conseil.
2.L’affiliation à un système de partage des données financières reste à tout moment ouverte à de nouveaux membres aux mêmes conditions et selon les mêmes modalités que celles applicables aux membres existants.
3.Un détenteur de données informe l’autorité compétente de son État membre d’établissement de tout système de partage des données financières auquel il est affilié, dans un délai d’un mois à compter de son affiliation.
4.Un système de partage des données financières créé conformément au présent article est notifié, au moment de sa création, à l’autorité compétente de l’État membre d’établissement des trois détenteurs de données les plus importants qui sont membres de ce système. Lorsque les trois détenteurs de données les plus importants sont établis dans des États membres différents, ou lorsqu’il existe plusieurs autorités compétentes dans l’État membre d’établissement des trois détenteurs de données les plus importants, le système est notifié à toutes ces autorités, qui conviennent entre elles de l’autorité qui procède à l’évaluation prévue au paragraphe 6.
5.La notification prévue au paragraphe 4 a lieu dans un délai de un mois à compter de la création du système de partage des données financières et elle inclut les caractéristiques et modalités de gouvernance du système visées au paragraphe 1.
6.Dans un délai de un mois à compter de la réception de la notification prévue au paragraphe 4, l’autorité compétente évalue si les caractéristiques et modalités de gouvernance du système de partage des données financières sont conformes au paragraphe 1. Lorsqu’elle évalue la conformité du système de partage des données financières avec le paragraphe 1, l’autorité compétente peut consulter d’autres autorités compétentes.
Au terme de son évaluation, l’autorité compétente informe l’ABE qu’elle s’est vu notifier un système de partage des données financières qui satisfait aux dispositions du paragraphe 1. Un système notifié à l’ABE conformément au présent paragraphe est reconnu dans tous les États membres aux fins de l’accès aux données en vertu de l’article 5, paragraphe 1, et n’a pas à faire l’objet d’une nouvelle notification dans un autre État membre.
Article 11
Pouvoir d’adopter un acte délégué en cas d’absence de système de partage des données financières
Si un système de partage des données financières n’est pas mis au point pour une ou plusieurs des catégories de données client visées à l’article 2, paragraphe 1, et qu’il n’existe aucune perspective réaliste qu’il le soit dans un délai raisonnable, la Commission est habilitée à adopter, conformément à l’article 30, un acte délégué qui complète le présent règlement en précisant les modalités suivantes, selon lesquelles un détenteur de données doit mettre à disposition, conformément à l’article 5, paragraphe 1, les données client relevant de la ou des catégories en question:
a)des normes communes pour les données et, le cas échéant, les interfaces techniques à utiliser pour permettre aux clients de demander le partage de données au titre de l’article 5, paragraphe 1;
b)un modèle permettant de déterminer la compensation maximale qu’un détenteur de données est en droit de facturer pour la mise à disposition de données;
c)la responsabilité des entités participant à la mise à disposition des données client.
TITRE V
Éligibilité à l’accès aux données et organisation
Article 12
Demande d’agrément comme prestataire de services d’information financière
1.Un prestataire de services d’information financière est éligible à un accès aux données client en vertu de l’article 5, paragraphe 1, s’il est agréé par l’autorité compétente d’un État membre.
2.Un prestataire de services d’information financière soumet à l’autorité compétente de l’État membre d’établissement de son siège statutaire une demande d’agrément accompagnée des pièces suivantes:
a)un programme d’activité indiquant, en particulier, le type d’accès aux données envisagé;
b)un plan d’affaires contenant notamment un budget prévisionnel afférent aux trois premiers exercices, qui démontre que le demandeur est en mesure de mettre en œuvre les systèmes, ressources et procédures appropriés et proportionnés nécessaires à son bon fonctionnement;
c)une description du dispositif de gouvernance d’entreprise et des mécanismes de contrôle interne du demandeur, notamment de ses procédures administratives, de gestion des risques et comptables, ainsi que de ses dispositions relatives à l’utilisation de services TIC au sens du règlement (UE) 2022/2554 du Parlement européen et du Conseil, qui démontre que ce dispositif de gouvernance, ces mécanismes de contrôle interne et ces procédures sont proportionnés, adaptés, sains et adéquats;
d)une description de la procédure mise en place pour assurer la surveillance, le traitement et le suivi des incidents de sécurité et des réclamations de clients liées à la sécurité, y compris un mécanisme de signalement des incidents qui tient compte des obligations de notification fixées au chapitre III du règlement (UE) 2022/2554;
e)une description des dispositions en matière de continuité des activités, y compris une désignation claire des opérations critiques, une politique et des plans de continuité des activités de TIC et des plans de réponse et de rétablissement des TIC efficaces, ainsi qu’une procédure prévoyant de tester et de réexaminer régulièrement le caractère adéquat et l’efficacité de ces plans conformément au règlement (UE) 2022/2554;
f)un document relatif à la politique de sécurité, comprenant une analyse détaillée des risques liés aux activités du demandeur et une description des mesures de maîtrise et d’atténuation prises pour protéger ses clients de façon adéquate contre les risques décelés en matière de sécurité, y compris la fraude;
g)une description de l’organisation structurelle du demandeur, ainsi qu’une description de ses accords d’externalisation;
h)l’identité des dirigeants et des personnes responsables de la gestion du demandeur et, s’il y a lieu, des personnes responsables de la gestion de ses activités d’accès aux données, et la preuve de ce qu’ils jouissent de l’honorabilité et possèdent les compétences et l’expérience requises pour accéder aux données conformément au présent règlement;
i)le statut juridique et les statuts du demandeur;
j)l’adresse de l’administration centrale du demandeur;
k)le cas échéant, l’accord écrit conclu entre le prestataire de services d’information financière et son représentant légal, attestant la désignation de ce dernier, l’étendue de sa responsabilité et les tâches qu’il doit accomplir conformément à l’article 13.
Aux fins du premier alinéa, points c), d) et g), le demandeur fournit une description des dispositions qu’il a prises en matière d’audit et des dispositions organisationnelles qu’il a arrêtées en vue de prendre toute mesure raisonnable pour protéger les intérêts de ses clients et garantir la continuité et la fiabilité de ses activités.
La description des mesures de maîtrise et d’atténuation des risques en matière de sécurité prévue au premier alinéa, point f), indique comment le demandeur garantira un niveau élevé de résilience opérationnelle numérique conformément au chapitre II du règlement (UE) 2022/2554, en particulier en ce qui concerne la sécurité technique et la protection des données, y compris pour les systèmes logiciels et de TIC qu’il utilise ou qu’utilisent les entreprises auxquelles il externalise tout ou partie de ses activités.
3.Les prestataires de services d’information financière possèdent une assurance de responsabilité civile professionnelle couvrant les territoires où ils ont accès à des données, ou une autre garantie comparable, et veillent:
a)à pouvoir assumer leur responsabilité en cas d’accès non autorisé ou frauduleux à des données ou d’utilisation non autorisée ou frauduleuse de données;
b)à pouvoir couvrir la valeur de tout dépassement de la franchise ou autre seuil de l’assurance ou de la garantie comparable;
c)à assurer un suivi continu de la couverture offerte par l’assurance ou la garantie comparable.
À titre d’alternative à la possession d’une assurance de responsabilité civile professionnelle ou d’une autre garantie comparable telle que requise au premier alinéa, l’entreprise visée au précédent alinéa doit détenir un capital initial de 50 000 EUR, pouvant être remplacé par une assurance de responsabilité civile professionnelle ou une autre garantie comparable dans les meilleurs délais après le début de son activité de prestataire de services d’information financière.
4.L’ABE élabore, en coopération avec l’AEMF et l’AEAPP et après consultation de toutes les parties prenantes concernées, des projets de normes techniques de réglementation précisant:
a)les informations à fournir à l’autorité compétente dans la demande d’agrément comme prestataire de services d’information financière, notamment les exigences énoncées au paragraphe 1, points a) à l);
b)une méthode commune d’évaluation pour l’octroi de l’agrément comme prestataire de services d’information financière au titre du présent règlement;
c)ce qu’est une garantie comparable, telle que visée au paragraphe 2, qui devrait être interchangeable avec une assurance de responsabilité civile professionnelle;
d)les critères à appliquer pour fixer le montant monétaire minimal de l’assurance de responsabilité civile professionnelle ou d’une autre garantie comparable, telle que visée au paragraphe 2.
Lors de l’élaboration de ces normes techniques de réglementation, l’ABE tient compte des éléments suivants:
a)le profil de risque de l’entreprise;
b)si l’entreprise fournit d’autres types de services ou exerce d’autres activités;
c)la taille de son activité;
d)les caractéristiques spécifiques des garanties comparables et les critères de leur mise en œuvre.
L’ABE soumet à la Commission les projets de normes techniques de réglementation visés au premier alinéa du présent paragraphe au plus tard le [OP: veuillez insérer la date correspondant à neuf mois après la date d’entrée en vigueur du présent règlement].
La Commission est habilitée à adopter des actes délégués, conformément aux articles 10 à 14 du règlement (UE) nº 1093/2015 en ce qui concerne les normes techniques de réglementation visées au premier alinéa du présent paragraphe.
Conformément à l’article 10 du règlement (UE) nº 1093/2010, l’ABE réexamine et, le cas échéant, met à jour ces normes techniques de réglementation.
Article 13
Représentants légaux
1.Les prestataires de services d’information financière qui n’ont pas d’établissement dans l’Union, mais qui demandent l’accès à des données financières dans l’Union, désignent par écrit une personne morale ou physique comme leur représentant légal dans l’un des États membres à partir duquel ils entendent accéder aux données financières.
2.Les prestataires de services d’information financière chargent leur représentant légal de répondre aux autorités compétentes, en plus d’eux-mêmes ou à leur place, sur toute question nécessaire à la réception, au respect et à l’application du présent règlement. Les prestataires de services d’information financière dotent leur représentant légal des pouvoirs et des ressources nécessaires pour lui permettre de coopérer avec les autorités compétentes et de garantir le respect de leurs décisions.
3.Le représentant légal désigné peut être tenu pour responsable du non-respect des obligations prévues par le présent règlement, sans préjudice de la responsabilité du prestataire de services d’information financière et des actions en justice susceptibles d’être intentées contre lui.
4.Les prestataires de services d’information financière communiquent le nom, l’adresse, l’adresse de courrier électronique et le numéro de téléphone de leur représentant légal à l’autorité compétente de l’État membre dans lequel ce représentant légal réside ou est établi. Ils veillent à ce que ces informations soient à jour.
5.La désignation d’un représentant légal dans l’Union en vertu du paragraphe 1 ne constitue pas un établissement dans l’Union.
Article 14
Octroi et retrait de l’agrément comme prestataire de services d’information financière
1.L’autorité compétente octroie l’agrément si les informations et pièces justificatives accompagnant la demande satisfont aux exigences énoncées à l’article 11, paragraphes 1 et 2. Avant d’accorder l’agrément, l’autorité compétente peut consulter, s’il y a lieu, d’autres autorités publiques concernées.
2.L’autorité compétente agrée un prestataire de services d’information financière de pays tiers pour autant que toutes les conditions suivantes soient remplies:
a)le prestataire de services d’information financière de pays tiers respecte toutes les conditions énoncées aux articles 12 et 16;
b)le prestataire de services d’information financière de pays tiers a désigné un représentant légal conformément à l’article 13;
c)lorsque le prestataire de services d’information financière de pays tiers est soumis à une surveillance, l’autorité compétente s’efforce de mettre en place un accord de coopération approprié avec l’autorité compétente concernée du pays tiers dans lequel le prestataire de services d’information financière est établi, afin de garantir un échange efficace d’informations;
d)le pays tiers dans lequel le prestataire de services d’information financière est établi ne figure pas sur la liste des pays et territoires non coopératifs à des fins fiscales en vertu de la politique de l’Union en la matière, ni sur la liste des pays tiers à haut risque présentant des carences au sens du règlement délégué (UE) 2016/1675 de la Commission.
3.L’autorité compétente n’accorde l’agrément que si, compte tenu de la nécessité de garantir une gestion saine et prudente du prestataire de services d’information financière, celui-ci dispose d’un solide dispositif de gouvernance pour ses activités de services d’information. Ce dispositif doit notamment comporter une structure organisationnelle claire avec un partage des responsabilités bien défini, transparent et cohérent, des procédures efficaces de détection, de gestion, de suivi et de déclaration des risques auxquels le prestataire de services d’information financière est ou pourrait être exposé, et des mécanismes de contrôle interne adéquats, y compris des procédures administratives et comptables saines. Ce dispositif, ces procédures et ces mécanismes sont exhaustifs et proportionnés à la nature, à la taille et à la complexité des services d’information fournis par le prestataire de services d’information financière.
4.L’autorité compétente n’octroie l’agrément que si le bon exercice de sa mission de surveillance n'est pas entravé par les dispositions législatives, réglementaires ou administratives applicables à une ou plusieurs personnes physiques ou morales avec lesquelles le prestataire de services d’information financière a des liens étroits, ou par des difficultés tenant à l’application de ces dispositions législatives, réglementaires ou administratives.
5.L’autorité compétente n’octroie l’agrément que si elle a l’assurance qu’aucun accord d’externalisation ne fera du prestataire de services d’information financière une entité boîte aux lettres ou ne sera conclu en vue de contourner les dispositions du présent règlement.
6.Dans un délai de trois mois à compter de la réception de la demande ou, si la demande est incomplète, de l’ensemble des informations nécessaires à sa décision, l’autorité compétente informe le demandeur de l’octroi ou du refus de l’agrément. En cas de refus de l’agrément, l’autorité compétente motive celui-ci.
7.L’autorité compétente ne peut retirer l’agrément octroyé à un prestataire de services d’information financière que si celui-ci:
a)ne fait pas usage de l’agrément dans un délai de 12 mois, renonce expressément à l’agrément ou a cessé son activité depuis plus de six mois;
b)a obtenu l’agrément au moyen de fausses déclarations ou par tout autre moyen irrégulier;
c)ne remplit plus les conditions de l’agrément ou omet d’informer l’autorité compétente de changements majeurs sur ce plan;
d)représenterait un risque pour la protection des consommateurs et la sécurité des données.
L’autorité compétente motive tout retrait de l’agrément et en informe les intéressés. L’autorité compétente rend public le retrait d’un agrément, dans une version anonymisée.
Article 15
Registre
1.L’ABE met au point, gère et tient à jour un registre électronique central contenant les informations suivantes:
a)la liste des prestataires de services d’information financière agréés;
b)la liste des prestataires de services d’information financière qui ont notifié leur intention d’accéder à des données dans un État membre autre que leur État membre d’origine;
c)la liste des systèmes de partage des données financières convenus entre des détenteurs de données et des utilisateurs de données.
2.Le registre prévu au paragraphe 1 ne contient que des données anonymisées.
3.Le registre est mis à la disposition du public sur le site web de l’ABE et permet une recherche facile et un accès facile aux informations qu’il contient.
4.L’ABE saisit dans le registre visé au paragraphe 1 tout retrait de l’agrément d’un prestataire de services d’information financière ou toute cessation d’un système de partage des données financières.
5.Les autorités compétentes des États membres communiquent sans délai à l’ABE les informations nécessaires à l’accomplissement de ses missions en vertu des paragraphes 1 et 3. Les autorités compétentes sont responsables de l’exactitude des informations visées aux paragraphes 1 et 3 et de leur tenue à jour. Dans la mesure où cela est techniquement possible, ils transmettent ces informations à l’ABE de manière automatisée.
Article 16
Exigences organisationnelles applicables aux prestataires de services d’information financière
Tout prestataire de services d’information financière se conforme aux exigences organisationnelles suivantes:
a)il met en place des politiques et des procédures suffisantes pour garantir le respect, y compris par ses dirigeants et ses salariés, de ses obligations au titre du présent règlement;
b)il prend des mesures raisonnables pour assurer la continuité et la régularité de ses activités. À cette fin, le prestataire de services d’information financière utilise des systèmes, des ressources et des procédures appropriés et proportionnés pour assurer la continuité de ses opérations critiques, et il met en place des plans d’urgence et une procédure pour tester et réexaminer régulièrement l’adéquation et l’efficacité de ces plans;
c)s’il confie à un tiers des fonctions critiques pour la fourniture aux clients d’un service continu et satisfaisant et pour l’exercice d’activités de manière continue et satisfaisante, il prend des mesures raisonnables pour éviter tout risque opérationnel supplémentaire injustifié. L’externalisation de fonctions opérationnelles importantes ne peut être faite d’une manière qui nuise sensiblement à la qualité du contrôle interne du prestataire de services d’information financière et qui empêche l’autorité de surveillance de contrôler qu’il respecte toutes ses obligations;
d)il dispose de procédures administratives, comptables et de gouvernance saines, de mécanismes de contrôle interne, de procédures d’évaluation et de gestion des risques efficaces et de dispositifs efficaces de contrôle et de sauvegarde de ses systèmes de traitement de l’information;
e)ses dirigeants et les personnes responsables de sa gestion, ainsi que les personnes responsables de la gestion de ses activités d’accès aux données, jouissent d’une honorabilité et possèdent les connaissances, les compétences et l’expérience requises, tant individuellement que collectivement, pour exercer leurs missions;
f)il établit et maintient des procédures efficaces et transparentes pour assurer une surveillance, un traitement et un suivi rapides, impartiaux et cohérents des incidents de sécurité et des réclamations de clients liées à la sécurité , notamment un mécanisme de signalement des incidents qui tienne compte des obligations de notification définies au chapitre III du règlement (UE) 2022/2554.
TITRE VI
Autorités compétentes et cadre de surveillance
Article 17
Autorités compétentes
1.Les États membres désignent les autorités compétentes chargées d’exercer les fonctions et missions prévues par le présent règlement. Ils notifient l’identité de ces autorités compétentes à la Commission.
2.Les États membres veillent à doter les autorités compétentes désignées au titre du paragraphe 1 de toutes les compétences nécessaires à l’accomplissement de leurs missions.
Les États membres veillent à ce que ces autorités compétentes disposent des ressources nécessaires, notamment en termes de personnel dédié, pour s’acquitter de leurs missions conformément aux obligations prévues par le présent règlement.
3.Les États membres qui ont nommé dans leur juridiction plus d’une autorité compétente pour les questions couvertes par le présent règlement veillent à ce que ces autorités coopèrent étroitement, de façon à s’acquitter efficacement de leurs missions respectives.
4.En ce qui concerne les établissements financiers, le respect du présent règlement est assuré par les autorités compétentes visées à l’article 46 du règlement (UE) 2022/2554, conformément aux pouvoirs conférés par les actes juridiques, visés audit article, qui leur sont respectivement applicables, et par le présent règlement.
Article 18
Pouvoirs des autorités compétentes
1.Les autorités compétentes sont investies de tous les pouvoirs d’enquête nécessaires à l’exercice de leurs fonctions. Ces pouvoirs comprennent:
a)le pouvoir d’exiger de toute personne physique ou morale qu’elle fournisse toute information nécessaire à l’accomplissement des missions confiées aux autorités compétentes, y compris des informations à fournir à intervalles réguliers et dans des formats spécifiés à des fins de surveillance et à des fins statistiques connexes;
b)le pouvoir de mener toutes les enquêtes nécessaires auprès de toute personne visée au point a), établie ou située sur le territoire de l’État membre concerné, lorsque cela est nécessaire à l’accomplissement des missions confiées aux autorités compétentes, y compris le pouvoir:
i)d’exiger la production de documents;
ii)d’examiner des données, quelle qu’en soit la forme, y compris les livres et les enregistrements des personnes visées au point a), et d’en prendre des copies ou d’en prélever des extraits;
iii)de réclamer des explications écrites ou orales à toute personne visée au point a), à ses représentants ou à des membres de son personnel et, si nécessaire, de convoquer et d’interroger cette personne en vue d’obtenir des informations;
iv)d’interroger toute autre personne physique qui accepte de l’être aux fins de recueillir des informations concernant l’objet d’une enquête;
v)sous réserve d’autres conditions prévues par le droit de l’Union ou le droit national, d’effectuer les inspections nécessaires dans les locaux des personnes morales ou dans des lieux autres que la résidence privée des personnes physiques, visées au point a), ainsi que de toute autre personne morale incluse dans la surveillance consolidée desdites personnes, si l’autorité compétente est l’autorité de surveillance sur base consolidée, sous réserve d’une notification préalable aux autorités compétentes concernées;
vi)de pénétrer, dans le respect du droit national, dans les locaux de personnes physiques et morales afin de saisir des documents et des données, quelle qu’en soit la forme, lorsqu’il existe un soupçon raisonnable que des documents ou des données concernant l’objet de l’inspection ou de l’enquête puissent être nécessaires et importants pour prouver qu’il y a eu infraction aux dispositions du présent règlement;
vii)de se faire remettre, dans la mesure où le droit national l’autorise, les enregistrements existants d’échanges de données détenus par un opérateur de télécommunications, lorsqu’il existe un soupçon raisonnable d’infraction au présent règlement et que ces enregistrements peuvent être utiles à l’enquête sur cette infraction;
viii)de demander le gel ou la mise sous séquestre d’actifs, ou les deux;
ix)de transmettre une affaire en vue d’une enquête pénale;
c)en l’absence d’autres moyens disponibles pour faire cesser ou prévenir une infraction au présent règlement et afin d’éviter tout risque d’atteinte grave aux intérêts des consommateurs, le pouvoir de prendre toute mesure parmi les suivantes, y compris en demandant à un tiers ou à une autre autorité publique de la mettre en œuvre:
i)retirer un contenu d’une interface en ligne, restreindre l’accès à celle-ci ou ordonner qu’un message d’avertissement s’affiche clairement à l’intention des consommateurs lorsqu’ils accèdent à cette interface;
ii)ordonner à un fournisseur de services d’hébergement de supprimer, désactiver ou restreindre l’accès à une interface en ligne; ou
iii)ordonner à des opérateurs de registres ou à des bureaux d’enregistrement de domaines de supprimer un nom de domaine complet et permettre à l’autorité compétente concernée d’enregistrer cette suppression;
La mise en œuvre des dispositions du présent paragraphe et l’exercice des pouvoirs qu’il confère sont proportionnés et conformes au droit de l’Union et au droit national, y compris aux garanties procédurales applicables et aux principes de la Charte des droits fondamentaux de l’Union européenne. Les mesures d’enquête et d’exécution adoptées en vertu du présent règlement sont adaptées à la nature et au préjudice global, réel ou potentiel, causé par l’infraction.
2.Les autorités compétentes exercent les pouvoirs d’enquêter sur des infractions potentielles au présent règlement, et imposent les sanctions administratives et autres mesures administratives que celui-ci prévoit, de l’une des manières suivantes:
a)directement;
b)en collaboration avec d’autres autorités;
c)en déléguant des pouvoirs à d’autres autorités ou organismes;
d)en saisissant les autorités judiciaires compétentes d’un État membre.
Lorsque les autorités compétentes exercent leurs pouvoirs en les déléguant à d’autres autorités ou organismes, conformément au point c), la délégation de pouvoir précise les tâches déléguées, les conditions qui président à leur exécution et les conditions de révocation de leur délégation. Les autorités ou organismes délégataires des pouvoirs sont organisés de manière à éviter les conflits d’intérêts. Les autorités compétentes supervisent l’activité des autorités ou organismes délégataires.
3.Lorsqu’elles exercent leurs pouvoirs d’enquête et de sanction, y compris dans des affaires transfrontières, les autorités compétentes coopèrent effectivement entre elles et avec les autorités de tout secteur concerné, ainsi que le requiert chaque affaire, et dans le respect du droit national et du droit de l’Union, afin d’assurer l’échange d’informations et l’assistance mutuelle nécessaires à l’application effective de sanctions administratives et de mesures administratives.
Article 19
Accords de règlement et procédures d’exécution accélérée
1.Sans préjudice de l’article 20, les États membres peuvent établir des règles permettant à leurs autorités compétentes de clore une enquête concernant une infraction alléguée au présent règlement, à la suite d’un accord de règlement, afin de mettre un terme à l’infraction alléguée et à ses conséquences avant l’ouverture d’une procédure formelle de sanction.
2.Les États membres peuvent établir des règles permettant à leurs autorités compétentes de clore, au moyen d’une procédure d’exécution accélérée, une enquête concernant une infraction constatée, afin d’assurer l’adoption rapide d’une décision visant à imposer une sanction administrative ou une mesure administrative.
Les pouvoirs conférés à des autorités compétentes en matière de règlement ou d’ouverture de procédures d’exécution rapides sont sans incidence sur les obligations qui incombent aux États membres en vertu de l’article 20.
3.Lorsque les États membres établissent les règles visées au paragraphe 1, ils notifient à la Commission les dispositions législatives, réglementaires et administratives pertinentes régissant l’exercice des pouvoirs visés audit paragraphe et lui notifient toute modification ultérieure de ces règles.
Article 20
Sanctions administratives et autres mesures administratives
1.Sans préjudice des pouvoirs de surveillance et d’enquête des autorités compétentes énumérés à l’article 18, les États membres, conformément au droit national, font en sorte que les autorités compétentes aient le pouvoir de prendre les sanctions administratives et autres mesures administratives appropriées en ce qui concerne les infractions suivantes:
a)les infractions aux articles 4, 5 et 6;
b)les infractions aux articles 7 et 8;
c)les infractions aux articles 9 et 10;
d)les infractions aux articles 13 et 16;
e)les infractions à l’article 28.
2.Les États membres peuvent décider de ne pas fixer de règles relatives aux sanctions administratives et mesures administratives applicables aux infractions au présent règlement qui sont passibles de sanctions en droit pénal national. Dans ce cas, les États membres notifient à la Commission les dispositions de droit pénal pertinentes et toute modification ultérieure de celles-ci.
3.Les États membres, conformément à leur droit national, veillent à ce que les autorités compétentes aient le pouvoir d’imposer les sanctions administratives et autres mesures administratives suivantes pour les infractions visées au paragraphe 1:
a)une déclaration publique précisant l’identité de la personne physique ou morale responsable et la nature de l’infraction;
b)une injonction ordonnant à la personne physique ou morale responsable de mettre fin au comportement constitutif de l’infraction et de s’abstenir de le réitérer;
c)la restitution des gains retirés de cette infraction ou des pertes qu’elle a permis d’éviter, dans la mesure où il est possible de les déterminer;
d)la suspension temporaire de l’agrément d’un prestataire de services d’information financière;
e)une amende administrative maximale d’au moins deux fois le montant des gains retirés de l’infraction ou des pertes qu’elle a permis d’éviter, s’il est possible de les déterminer, même si cette amende dépasse les montants maximaux indiqués au point f) du présent paragraphe, pour les personnes physiques, ou au paragraphe 4, pour les personnes morales;
f)dans le cas d’une personne physique, une amende administrative maximale, allant jusqu’à 25 000 EUR par infraction et jusqu’à un total de 250 000 EUR par an ou, dans les États membres dont la monnaie officielle n’est pas l’euro, la valeur correspondante dans la monnaie officielle de l’État membre concerné au... [OP: prière d’insérer la date d’entrée en vigueur du présent règlement];
g)l’interdiction temporaire, pour tout membre de l’organe de direction du prestataire de services d’information financière, ou pour toute autre personne physique, qui sont tenus pour responsables de l’infraction, d’exercer des fonctions de direction au sein d’un prestataire de services d’information financière;
h)en cas d’infraction répétée aux articles mentionnés au paragraphe 1, l’interdiction pendant au moins dix ans, pour tout membre de l’organe de direction du prestataire de services d’information financière, ou pour toute autre personne physique, qui sont tenus pour responsables de l’infraction, d’exercer des fonctions de direction au sein d’un prestataire de services d’information financière.
4.Les États membres veillent, conformément à leur droit national, à ce que les autorités compétentes aient le pouvoir d’imposer, pour la commission par des personnes morales des infractions visées au paragraphe 1, des amendes administratives maximales:
a)allant jusqu’à 50 000 EUR par infraction et jusqu’à un total de 500 000 EUR par an ou, dans les États membres dont la monnaie officielle n’est pas l’euro, la valeur correspondante dans la monnaie officielle de l’État membre concerné au ... [OP: prière d’insérer la date d’entrée en vigueur du présent règlement];
b)2 % du chiffre d’affaires annuel total de la personne morale tel qu’il ressort des derniers états financiers disponibles approuvés par l’organe de direction.
Si la personne morale visée au premier alinéa est une entreprise mère ou une filiale d’une entreprise mère qui est tenue d’établir des états financiers consolidés conformément à l’article 22 de la directive 2013/34/UE du Parlement européen et du Conseil, le chiffre d’affaires annuel total à prendre en considération est le chiffre d’affaires net ou les recettes à déterminer, conformément aux normes comptables applicables, d’après les états financiers consolidés de l’entreprise mère ultime disponibles pour la dernière date de clôture du bilan, dont sont responsables les membres des organes d’administration, de direction et de surveillance de cette entreprise mère ultime.
5.Les États membres peuvent habiliter les autorités compétentes à imposer d’autres types de sanctions administratives et autres mesures administratives, outre celles visées aux paragraphes 3 et 4, et ils peuvent prévoir des montants de sanctions pécuniaires administratives plus élevés que ceux prévus auxdits paragraphes.
Les États membres notifient à la Commission le niveau de ces sanctions plus élevées, ainsi que toute modification ultérieure de ces dernières.
Article 21
Astreintes
1.Les autorités compétentes sont habilitées à imposer des astreintes à des personnes physiques ou morales en cas de non-respect persistant de toute décision, injonction, mesure provisoire, demande, obligation ou autre mesure administrative adoptée conformément au présent règlement.
Les astreintes visées au premier alinéa sont effectives et proportionnées et consistent en un montant quotidien à payer jusqu’au rétablissement de la conformité. Elles sont imposées pour une période n’excédant pas six mois à compter de la date indiquée dans la décision les imposant.
Les autorités compétentes sont habilitées à imposer les astreintes suivantes, qui peuvent être ajustées en fonction de la gravité de l’infraction et des besoins du secteur:
a)3 % du chiffre d’affaires quotidien moyen, dans le cas d’une personne morale;
b)30 000 EUR, dans le cas d’une personne physique.
2.Le chiffre d’affaires quotidien moyen visé au paragraphe 1, troisième alinéa, point a), est le chiffre d’affaires annuel total divisé par 365.
3.Les États membres peuvent prévoir des montants d’astreintes plus élevés que ceux prévus au paragraphe 1, troisième alinéa.
Article 22
Circonstances à prendre en considération lors de la détermination de sanctions administratives et autres mesures administratives
1.Lorsqu’elles déterminent le type et le niveau de sanctions administratives ou d’autres mesures administratives, les autorités compétentes tiennent compte de toutes les circonstances pertinentes afin d’assurer à ces sanctions ou mesures un caractère effectif et proportionné. Ces circonstances comprennent, lorsque cela est approprié:
a)la gravité et la durée de l’infraction;
b)le degré de responsabilité de la personne physique ou morale responsable de l’infraction;
c)l’assise financière de la personne physique ou morale responsable de l’infraction, telle qu’elle ressort, entre autres, du chiffre d’affaires annuel total de la personne morale ou des revenus annuels de la personne physique responsable de l’infraction;
d)le niveau des gains obtenus ou des pertes évitées par la personne physique ou morale responsable de l’infraction, s’ils peuvent être déterminés;
e)les pertes subies par des tiers du fait de l’infraction, si elles peuvent être déterminées;
f)le désavantage résultant, pour la personne physique ou morale responsable de l’infraction, du cumul de procédures et de sanctions pénales et administratives pour une même infraction;
g)l’incidence de l’infraction sur les intérêts des clients;
h)les conséquences systémiques négatives, réelles ou potentielles, de l’infraction;
i)la complicité ou la participation organisée de plusieurs personnes physiques ou morales à l’infraction;
j)les infractions commises antérieurement par la personne physique ou morale responsable de l’infraction;
k)le degré de coopération avec les autorités compétentes de la personne physique ou morale responsable de l’infraction;
l)les mesures correctives prises par la personne physique ou morale responsable de l’infraction pour éviter toute récidive.
2.Les autorités compétentes qui recourent à des accords de règlement ou à des procédures d’exécution accélérée conformément à l’article 19 adaptent au cas concerné les sanctions administratives et autres mesures administratives pertinentes prévues à l’article 20 afin d’en garantir la proportionnalité, notamment en tenant compte des circonstances visées au paragraphe 1.
Article 23
Secret professionnel
1.Toutes les personnes qui travaillent ou ont travaillé pour les autorités compétentes, et les experts mandatés par ces autorités, sont tenus au secret professionnel.
2.Les informations échangées conformément à l’article 26 sont soumises à l’obligation de respect du secret professionnel, tant par l’autorité qui les partage que par l’autorité destinataire, afin de garantir la protection des droits des particuliers et des entreprises.
Article 24
Droit de recours
1.Les décisions prises par les autorités compétentes en vertu du présent règlement peuvent faire l’objet d’un recours juridictionnel.
2.Le paragraphe 1 s’applique également en cas de carence.
Article 25
Publication des décisions des autorités compétentes
1.Les autorités compétentes publient sur leur site web toutes les décisions imposant une sanction administrative ou une mesure administrative à des personnes physiques et morales pour infraction au présent règlement et, le cas échéant, tous les accords de règlement conclus. Cette publication contient une brève description de l’infraction et de la sanction administrative ou autre mesure administrative imposée ou, le cas échéant, une déclaration sur l’accord de règlement conclu. L’identité des personnes physiques visées par une décision imposant une sanction administrative ou une mesure administrative n’est pas publiée.
Les autorités compétentes publient la décision et la déclaration visées au paragraphe 1 immédiatement après que la décision a été notifiée à la personne physique ou morale visée par celle-ci ou que l’accord de règlement a été signé.
2.Par dérogation au paragraphe 1, si l’autorité nationale compétente juge nécessaire de publier l’identité ou d’autres données à caractère personnel de la personne physique pour protéger la stabilité des marchés financiers ou pour assurer l’application effective du présent règlement, y compris dans le cas des déclarations publiques prévues par l’article 20, paragraphe 3, point a), ou des interdictions temporaires prévues par l’article 20, paragraphe 3, point g), elle peut aussi publier cette identité ou ces données à caractère personnel, à condition de justifier cette décision et de limiter cette publication aux données à caractère personnel strictement nécessaires pour protéger la stabilité des marchés financiers ou assurer l’application effective du présent règlement.
3.Si la décision imposant une sanction administrative ou une autre mesure administrative fait l’objet d’un recours devant l’autorité, judiciaire ou autre, compétente, les autorités compétentes publient aussi sans tarder sur leur site web officiel des informations sur ce recours et toute information ultérieure sur son issue, dans la mesure où il concerne des personnes morales. Si la décision attaquée concerne des personnes physiques, et si la dérogation prévue au paragraphe 2 n’est pas appliquée, les autorités compétentes ne publient les informations relatives au recours que dans une version anonymisée.
4.Les autorités compétentes veillent à ce que toute publication effectuée conformément au présent article reste sur leur site web officiel pendant au moins cinq ans. Les données à caractère personnel contenues dans cette publication ne sont conservées sur le site web officiel de l’autorité compétente que si un réexamen annuel montre qu’il reste nécessaire de publier ces données pour protéger la stabilité des marchés financiers ou garantir l’application effective du présent règlement, et en tout état de cause pas plus de cinq ans.
Article 26
Coopération et échange d’informations entre les autorités compétentes
1.Les autorités compétentes coopèrent entre elles et avec les autres autorités compétentes concernées désignées en vertu du droit de l’Union ou du droit national applicable aux établissements financiers aux fins du présent règlement dans l’exercice de leurs missions.
2.L’échange d’informations entre les autorités compétentes et les autorités compétentes d’autres États membres chargées de l’agrément et de la surveillance des prestataires de services d’information financière est autorisé aux fins de l’exercice des missions qui leur incombent en vertu du présent règlement.
3.Les autorités compétentes qui échangent des informations avec d’autres autorités compétentes en application du présent règlement peuvent indiquer, au moment où elles les communiquent, que ces informations ne peuvent être divulguées sans leur accord exprès, auquel cas ces informations ne peuvent être échangées qu’aux fins pour lesquelles elles ont donné leur accord.
4.Les autorités compétentes ne peuvent transmettre les informations partagées par d’autres autorités compétentes à d’autres organismes ou personnes physiques ou morales sans l’accord exprès des autorités compétentes qui les leur ont communiquées, et le font uniquement aux fins pour lesquelles ces autorités ont donné leur accord, sauf dans des circonstances dûment justifiées. Dans ce dernier cas, le point de contact en informe immédiatement son homologue qui a envoyé les informations.
5.Lorsque les obligations prévues par le présent règlement concernent le traitement de données à caractère personnel, les autorités compétentes coopèrent avec les autorités de contrôle instituées en vertu du règlement (UE) 2016/679.
Article 27
Règlement des différends entre autorités compétentes
1.Si une autorité compétente d’un État membre estime que, sur une question donnée, la coopération transfrontière avec les autorités compétentes d’un autre État membre visée à l’article 28 ou 29 du présent règlement n’est pas conforme aux conditions énoncées auxdits articles, elle peut saisir l’ABE et demander son assistance en vertu de l’article 19 du règlement (UE) nº 1093/2010.
2.Lorsque l’ABE est saisie d’une demande d’assistance en application du paragraphe 1 du présent article, elle prend dans les meilleurs délais une décision en vertu de l’article 19, paragraphe 3, du règlement (UE) nº 1093/2010. L’ABE peut aussi, de sa propre initiative, prêter assistance aux autorités compétentes pour trouver un accord, conformément à l’article 19, paragraphe 1, deuxième alinéa, dudit règlement. Dans les deux cas, les autorités compétentes concernées reportent leurs décisions en attendant que le différend soit réglé conformément à l’article 19 du règlement (UE) nº 1093/2010.
TITRE VII
Accès transfrontière aux données
Article 28
Accès transfrontière aux données par les prestataires de services d’information financière
1.Les prestataires de services d’information financière et les établissements financiers sont autorisés à accéder aux données de clients de l’Union visées à l’article 2, paragraphe 1, qui sont détenues par des détenteurs de données établis dans l’Union, dans le cadre de la libre prestation de services ou de la liberté d’établissement.
2.Tout prestataire de services d’information financière souhaitant accéder pour la première fois aux données visées à l’article 2, paragraphe 1, du présent règlement dans un État membre autre que son État membre d'origine, en vertu du droit d'établissement ou de la libre prestation de services, communique les informations suivantes aux autorités compétentes de son État membre d’origine:
a)son nom, son adresse et, le cas échéant, son numéro d’agrément;
b)le ou les États membres dans lesquels il entend obtenir l’accès aux données visées à l’article 2, paragraphe 1;
c)le type de données auxquelles il souhaite accéder;
d)les systèmes de partage des données financières dont il est membre.
Si le prestataire de services d’information financière entend externaliser des fonctions opérationnelles d’accès aux données vers d’autres entités dans l’État membre d’accueil, il en informe les autorités compétentes de son État membre d’origine.
3.Dans un délai de un mois suivant la réception de l’ensemble des informations visées au paragraphe 1, les autorités compétentes de l’État membre d’origine les envoient aux autorités compétentes de l’État membre d’accueil.
4.Le prestataire de services d’information financière informe dans les meilleurs délais les autorités compétentes de son État membre d’origine de tout changement significatif concernant les informations communiquées conformément au paragraphe 1, y compris des entités supplémentaires vers lesquelles des activités sont externalisées dans les États membres d’accueil où il exerce ses activités. La procédure prévue aux paragraphes 2 et 3 s’applique.
Article 29
Motivation et communication
Toute mesure prise par les autorités compétentes en vertu des articles 18 ou 28 et qui comporte des sanctions ou des restrictions à l’exercice de la liberté d’établissement ou de la libre prestation de services est dûment motivée et communiquée au prestataire de services d’information financière concerné.
TITRE VIII
Dispositions finales
Article 30
Exercice de la délégation
1.Le pouvoir d’adopter des actes délégués conféré à la Commission est soumis aux conditions fixées au présent article.
2.Le pouvoir d’adopter l’acte délégué visé à l’article 11 est conféré à la Commission pour une période de XX mois à compter du [OP: prière d’insérer la date d’entrée en vigueur du présent règlement]. La Commission élabore un rapport sur cette délégation de pouvoir au plus tard neuf mois avant la fin de cette période de XX mois. La délégation de pouvoir est tacitement prorogée pour des périodes d’une durée identique, sauf si le Parlement européen ou le Conseil s’oppose à cette prorogation trois mois au plus tard avant la fin de chaque période.
3.La délégation de pouvoir visée à l’article 11 peut être révoquée à tout moment par le Parlement européen ou le Conseil. La décision de révocation met fin à la délégation de pouvoir qui y est précisée. La décision de révocation prend effet le jour suivant celui de sa publication au Journal officiel de l’Union européenne ou à une date ultérieure qu’elle précise. Elle ne porte pas atteinte à la validité des actes délégués déjà en vigueur.
4.Avant d’adopter un acte délégué, la Commission consulte les experts désignés par chaque État membre, conformément aux principes définis dans l’accord interinstitutionnel du 13 avril 2016 «Mieux légiférer».
5.Aussitôt qu’elle adopte un acte délégué, la Commission le notifie au Parlement européen et au Conseil simultanément.
6.Un acte délégué adopté en vertu de l’article 11 n’entre en vigueur que si ni le Parlement européen ni le Conseil n’a exprimé d’objections dans un délai de trois mois à compter de la notification de cet acte au Parlement européen et au Conseil ou si, avant l’expiration de ce délai, le Parlement européen et le Conseil ont tous deux informé la Commission de leur intention de ne pas exprimer d’objections. Ce délai est prolongé de trois mois à l’initiative du Parlement européen ou du Conseil.
Article 31
Évaluation du présent règlement et rapport sur l’accès aux données financières
1.Au plus tard le [OP: prière d’insérer la date correspondant à quatre ans après la date d’entrée en application du présent règlement], la Commission procède à une évaluation du présent règlement et présente ses principales conclusions dans un rapport au Parlement européen et au Conseil, ainsi qu’au Comité économique et social européen. Cette évaluation porte, en particulier, sur les aspects suivants:
a)les autres catégories ou ensembles de données qu’il conviendrait de rendre accessibles;
b)l’exclusion du champ d’application de certaines catégories de données et d’entités;
c)les modifications des pratiques contractuelles des détenteurs et des utilisateurs de données et le fonctionnement des systèmes de partage des données financières;
d)l’ajout d’autres types d’entités aux entités bénéficiant du droit d’accès aux données;
e)l’incidence de la compensation sur la capacité des utilisateurs de données à participer à des systèmes de partage des données financières et à accéder à des données détenues par des détenteurs de données.
2.Au plus tard le [OP: prière d’insérer la date correspondant à quatre ans après la date d’entrée en vigueur du présent règlement], la Commission remet au Parlement européen et au Conseil un rapport évaluant les conditions d’accès aux données financières qui sont applicables aux prestataires de services d’information sur les comptes au titre du présent règlement et de la directive (UE) 2015/2366. Ce rapport peut s’accompagner, si elle le juge opportun, d’une proposition législative.
Article 32
Modification du règlement (UE) nº 1093/2010
À l’article 1er, paragraphe 2, du règlement (UE) nº 1093/2010, le premier alinéa est remplacé par le texte suivant:
«L’Autorité agit selon les pouvoirs que le présent règlement lui confère et dans le champ d’application de la directive 2002/87/CE, de la directive 2008/48/CE*, de la directive 2009/110/CE, du règlement (UE) nº 575/2013**, de la directive 2013/36/UE***, de la directive 2014/49/UE****, de la directive 2014/92/UE*****, de la directive (UE) 2015/2366******, du règlement (UE) 2023/1114 (*******), du règlement (UE) 2024/… (********) du Parlement européen et du Conseil, ainsi que, dans la mesure où ces actes s’appliquent aux établissements de crédit, aux établissements financiers et aux autorités compétentes chargées de leur surveillance, des parties pertinentes de la directive 2002/65/CE, y compris de l’ensemble des directives, règlements et décisions fondés sur ces actes, ainsi que de tout autre acte juridiquement contraignant de l’Union conférant des tâches à l’Autorité. L’Autorité agit aussi conformément au règlement (UE) nº 1024/2013 du Conseil*********.
*
Directive 2008/48/CE du Parlement européen et du Conseil du 23 avril 2008 concernant les contrats de crédit aux consommateurs et abrogeant la directive 87/102/CEE du Conseil (JO L 133 du 22.5.2008, p. 66).
**
Règlement (UE) nº 575/2013 du Parlement européen et du Conseil du 26 juin 2013 concernant les exigences prudentielles applicables aux établissements de crédit et modifiant le règlement (UE) nº 648/2012 (JO L 176 du 27.6.2013, p. 1).
***
Directive 2013/36/UE du Parlement européen et du Conseil du 26 juin 2013 concernant l’accès à l’activité des établissements de crédit et la surveillance prudentielle des établissements de crédit, modifiant la directive 2002/87/CE et abrogeant les directives 2006/48/CE et 2006/49/CE (JO L 176 du 27.6.2013, p. 338).
****
Directive 2014/49/UE du Parlement européen et du Conseil du 16 avril 2014 relative aux systèmes de garantie des dépôts (JO L 173 du 12.6.2014, p. 149).
*****
Directive 2014/92/UE du Parlement européen et du Conseil du 23 juillet 2014 sur la comparabilité des frais liés aux comptes de paiement, le changement de compte de paiement et l’accès à un compte de paiement assorti de prestations de base (JO L 257 du 28.8.2014, p. 214).
******
Directive (UE) 2015/2366 du Parlement européen et du Conseil du 25 novembre 2015 concernant les services de paiement dans le marché intérieur, modifiant les directives 2002/65/CE, 2009/110/CE et 2013/36/UE et le règlement (UE) nº 1093/2010, et abrogeant la directive 2007/64/CE (JO L 337 du 23.12.2015, p. 35).
*******
Règlement (UE) 2023/1114 du Parlement européen et du Conseil du 31 mai 2023 sur les marchés de crypto-actifs, et modifiant les règlements (UE) nº 1093/2010 et (UE) nº 1095/2010 et les directives 2013/36/UE et (UE) 2019/1937 (JO L 150 du 9.6.2023, p. 40).
******** Règlement (UE) 2024/... du Parlement européen et du Conseil du ... relatif à un cadre pour l’accès aux données financières et modifiant les règlements (UE) nº 1093/2010, (UE) nº 1095/2010 et (UE) 2022/2554 et la directive (UE) 2019/1937 (JO L ... du ..., p.).
*********
Règlement (UE) nº 1024/2013 du Conseil du 15 octobre 2013 confiant à la Banque centrale européenne des missions spécifiques ayant trait aux politiques en matière de surveillance prudentielle des établissements de crédit (JO L 287 du 29.10.2013, p. 63).».
Article 33
Modification du règlement (UE) nº 1094/2010
À l’article 1er, paragraphe 2, du règlement (UE) nº 1094/2010, le premier alinéa est remplacé par le texte suivant:
«L’Autorité agit selon les pouvoirs que le présent règlement lui confère et dans le champ d’application du règlement (UE) 2024/... (*), de la directive 2009/138/CE, à l’exception de son titre IV, de la directive 2002/87/CE, de la directive (UE) 2016/97 (**) et de la directive (UE) 2016/2341 (***) du Parlement européen et du Conseil et, dans la mesure où ces actes s’appliquent aux prestataires de services d’information financière, aux entreprises d’assurance, aux entreprises de réassurance, aux institutions de retraite professionnelle et aux intermédiaires d’assurance, des parties pertinentes de la directive 2002/65/CE, y compris de l’ensemble des directives, règlements et décisions fondés sur ces actes, ainsi que de tout autre acte juridiquement contraignant de l’Union conférant des tâches à l’Autorité.
* Règlement (UE) 2024/... du Parlement européen et du Conseil du ... relatif à un cadre pour l’accès aux données financières et modifiant les règlements (UE) nº 1093/2010, (UE) nº 1094/2010, (UE) nº 1095/2010, (UE) nº 1094/2010 et (UE) 2022/2554, et la directive (UE) 2019/1937 (JO L ... du ..., p.).
** Directive (UE) 2016/97 du Parlement européen et du Conseil du 20 janvier 2016 sur la distribution d’assurances (JO L 26 du 2.2.2016, p. 19).
*** Directive (UE) 2016/2341 du Parlement européen et du Conseil du 14 décembre 2016 concernant les activités et la surveillance des institutions de retraite professionnelle (IRP) (JO L 354 du 23.12.2016, p. 37).».
Article 34
Modifications du règlement (UE) nº 1095/2010
À l’article 1er, paragraphe 2, du règlement (UE) nº 1095/2010, le premier alinéa est remplacé par le texte suivant:
«L’Autorité agit selon les pouvoirs que le présent règlement lui confère et dans le champ d’application des directives 97/9/CE, 98/26/CE, 2001/34/CE, 2002/47/CE, 2004/109/CE, 2009/65/CE, de la directive 2011/61/UE du Parlement européen et du Conseil*, du règlement (CE) nº 1060/2009 et de la directive 2014/65/UE du Parlement européen et du Conseil**, du règlement (UE) 2017/1129 du Parlement européen et du Conseil***, du règlement (UE) 2023/1114 du Parlement européen et du Conseil****, du règlement (UE) 2024/... du Parlement européen et du Conseil***** et, dans la mesure où ces actes s’appliquent aux sociétés qui offrent des services d’investissement ou aux organismes de placement collectif qui commercialisent leurs unités ou parts, aux émetteurs ou offreurs de crypto-actifs, aux personnes qui demandent l’admission à la négociation ou aux prestataires de services sur crypto-actifs et aux prestataires de services d’information financière, ainsi qu’aux autorités compétentes chargées de leur surveillance, des parties pertinentes des directives 2002/87/CE et 2002/65/CE, y compris de l’ensemble des directives, règlements et décisions fondés sur ces actes, ainsi que de tout autre acte juridiquement contraignant de l’Union européenne conférant des tâches à l’Autorité.
___________
*
Directive 2011/61/UE du Parlement européen et du Conseil du 8 juin 2011 sur les gestionnaires de fonds d’investissement alternatifs et modifiant les directives 2003/41/CE et 2009/65/CE ainsi que les règlements (CE) nº 1060/2009 et (UE) nº 1095/2010 (JO L 174 du 1.7.2011, p. 1).
**
Directive 2014/65/UE du Parlement européen et du Conseil du 15 mai 2014 concernant les marchés d’instruments financiers et modifiant la directive 2002/92/CE et la directive 2011/61/UE (JO L 173 du 12.6.2014, p. 349).
***
Règlement (UE) 2017/1129 du Parlement européen et du Conseil du 14 juin 2017 concernant le prospectus à publier en cas d’offre au public de valeurs mobilières ou en vue de l’admission de valeurs mobilières à la négociation sur un marché réglementé, et abrogeant la directive 2003/71/CE (JO L 168 du 30.6.2017, p. 12).
****
Règlement (UE) 2023/1114 du Parlement européen et du Conseil du 31 mai 2023 sur les marchés de crypto-actifs, et modifiant les règlements (UE) nº 1093/2010 et (UE) nº 1095/2010 et les directives 2013/36/UE et (UE) 2019/1937 (JO L 150 du 9.6.2023, p. 40).
***** Règlement (UE) 2024/... du Parlement européen et du Conseil du ... relatif à un cadre pour l’accès aux données financières et modifiant les règlements (UE) nº 1093/2010, (UE) nº 1094/2010, (UE) nº 1095/2010 et (UE) 2022/2554 et la directive (UE) 2019/1937 (JO L ... du ..., p.).».
Article 35
Modification du règlement (UE) 2022/2554
L’article 2, paragraphe 1,du règlement (UE) 2022/2554 est modifié comme suit:
1)Au point u), le signe de ponctuation «.» est remplacé par «;».
2)Le point v) suivant est ajouté:
«v)
les prestataires de services d’information financière.».
Article 36
Entrée en vigueur et application
Le présent règlement entre en vigueur le vingtième jour suivant celui de sa publication au Journal officiel de l’Union européenne.
Le présent règlement est obligatoire dans tous ses éléments et directement applicable dans tout État membre.
Fait à Bruxelles, le
Par le Parlement européen
Par le Conseil
La présidente
Le président