Chronique juridique de Sébastien Praicheux, docteur en droit, avocat au barreau de Paris, associé au cabinet Norton Rose Fulbright LLP et maître de conférences associé à l’Université Paris II Panthéon-Assas ; et Louise Nhieu, stagiaire au sein du département Regulatory du cabinet Norton Rose Fulbright LLP.
Au cours de la dernière décennie, l’accélération marquée de l’innovation technologique, combinée à l’émergence de nouvelles offres et demandes en matière de services bancaires et financiers, a engendré une mutation phénoménale du cadre juridique tant du point de vue des acteurs impliqués que des services proposés.
L’apparition de l’open banking ou « système de banque ouverte », consacre une rupture avec le schéma traditionnel confinant la donnée bancaire aux seuls établissements de crédit, source de restriction à l’offre de produits et services et de freins à la concurrence au sein du secteur financier. Par la force des choses, s’est alors développée la pratique dite du webscrapping permettant à une entité tierce d’accéder aux données bancaires directement sur Internet avec pour inconvénient d’évoluer dans un cadre juridiquement fragile notamment au regard de la protection des données personnelles.
Deux nouveaux services de banque ouverte
La seconde directive sur les services de paiement (DSP2) – transposée en droit français en 2017 - est donc venue créer un dispositif spécifique à l’open banking faisant naître deux nouveaux « services de banque ouverte » : l’initiation de paiement et l’information sur les comptes reposant tous deux sur une ouverture de l’accès aux données bancaires à des tiers après accord du client. Les acteurs concernés sont souvent des émetteurs d’instruments de paiement liés à une carte sollicitant une confirmation de la disponibilité des fonds au gestionnaire du compte bancaire. Cette transmission d’informations se fait désormais de manière sécurisée par la mise en place soit d’un processus de webscrapping authentifié, soit d’une ou plusieurs API (Application Programming interface ou interface de programmation d’application). Cette ouverture a favorisé l’innovation et la concurrence.
Malgré cette volonté européenne de partage des données bancaires, une enquête publiée en septembre 2025 par l’ACPR révèle que l’essor de l’Open banking en France reste modeste. En mai 2025, seulement trente-deux acteurs français étaient agréés, dont vingt-neuf en tant que prestataires de service d’information sur les comptes et vingt en qualité de prestataires de services d’initiation de paiement. L’ACPR l’explique par la concentration de l’essentiel du marché entre quelques acteurs majeurs de la Fintech, et champ limité des services concernés, principalement ceux prévus par la DSP2, l’initiation de paiement générant des revenus demeurant modestes en taille.
Le secteur reste prometteur
Le secteur reste néanmoins prometteur sous l’influence du recours à l’intelligence artificielle et plus généralement des nouvelles technologies de l’information faisant éclore de nouveaux cas d’usage.
Demeureraient toutefois des problématiques d’accès à la donnée auprès des banques, à l’origine de plusieurs mesures que la troisième directive sur les services de paiement (DSP3) et le premier règlement sur les services de paiement (RSP) ambitionnent de solutionner, telles que la mise en place de tableaux de bord pour gérer les droits d’accès aux données, l’introduction d’exigences additionnelles de performance et de fonctionnalité des API, un contrôle rigoureux des autorités nationales compétentes pour faire respecter les droits et obligations liées à l’Open Banking, et en sanctionner la violation de façon proportionnée.
Pourtant, malgré une présence encore réservée de l’Open banking dans le paysage français, appelée à être renforcée par le paquet DSP3 / RSP, le législateur au partage de la donnée bancaire un avenir toujours plus grand.
Vifs débats
C’est en effet dès 2023 que fut proposée l’adoption d’un nouveau règlement FiDA (Financial Data Access), qui fait toujours l’objet de vifs débats, visant à permettre le partage d’un panel plus large de données financières. Grâce à ce règlement, pourraient être partagées, non plus seulement les données relatives aux comptes bancaires, mais également celles relatives aux prêts immobiliers et à la consommation, aux prêts professionnels, à l’épargne, aux instruments financiers, jusqu’aux produits d’assurance et de prévoyance.
Alors que ce nouveau règlement inquiète fortement les acteurs traditionnels de la finance, banquiers et assureurs notamment, au regard de ses impacts potentiels sur la protection des données et l’augmentation des fraudes, la Commission européenne semble déterminée à le conserver : partie intégrante de la politique de l’Union européenne sur les données et de ses priorités politiques, complément naturel de l’Union de l’épargne et de l’investissement, l’Open Finance améliorerait le niveau d’information des consommateurs sur l’état de leurs finances, leur offrant potentiellement de meilleurs opportunités d’investissement.
La législation européenne multiplie ainsi, grâce à son paquet législatif relatif à la finance digitale, les règlementations destinées à créer des opportunités et maîtriser les risques de l’innovation technologique pour le secteur bancaire et financier, dans un contexte de concurrence mondiale galvanisée : en témoigne le florilège de textes que chaque saison fait éclore : règlement européen sur la résilience opérationnelle (DORA) et sur les marchés de crypto-actifs (MiCA), FiDA, DSP 3/ RSP, etc. L’Union européen cherche plus que jamais un point d’équilibre entre l’innovation technologique et la maîtrise des risques.