Agefi Luxembourg - mars 2026

Mars 2026 45 AGEFI Luxembourg Informatique financière L a propositionde règlement COM(2023) 360 (FiDA– Fi- nancial DataAccess) vise à élargir l’« open finance » enEu- rope.Au-delà de l’accessibilité et dupartage des seuls comptes de paiement, la propositionde règle- ment étend le périmètre aux don- nées financières dans un cadre harmonisé définissant les droits et obligations des parties, ainsi que les exigences de sécurité, de gou- vernance et de standardisation. AuLuxembourg, l’enjeuest important : la placefinancièreréunitunécosystèmeban- caireinternational,uneindustriedel’assu- rance largement transfrontalière et, surtout,unepositiondepremierplandans ladomiciliationet ladistributionde fonds d’investissement. FiDA : unmécanisme reposant sur un triangle opérationnel Le triangle opérationnel s’articule autour detroispiliers.D’unepart,leclient,quisol- licite l’accès à ses données et en autorise, ourévoque,lepartageavecdestiers.D’au- tre part, le détenteur des données (« Data Holder »), c’est-à-dire l’institution finan- cièrequicollecte,conserveettraitelesdon- néesduclient,etquiesttenuedelesmettre àdispositionconformémentauxrèglesap- plicables. Enfin, l’utilisateur des données (« Data User »), à savoir le tiers qui reçoit ces données sur instruction du client et doitseconformeràdesobligationsstrictes enmatière d’usage, de sécurité et de limi- tationdes finalités d’utilisation. FiDA : le client au centre de l’autorisationde l’accès aux données L’un des volets les plus opérationnels de lapropositionderèglementrésidedansla miseenplaced’untableaudeborddesau- torisations d’accès aux données finan- cières. Ce dispositif vise à permettre au client de gérer effectivement ses autorisa- tions (consultation, administration, révo- cation), afin de rendre le contrôle tangible au client et de limiter les situations de « consentement opaque».Autrement dit, le «DataHolder »devramettreà ladisposi- tion du client un tableau de bord offrant une vue d’ensemble des autorisations, lui permettant de les gérer, de les approuver etdelesrévoquer.Afinqueleclientpuisse seprononcerenconnaissancedecause,ce tableau de bord devra fournir des infor- mationsexplicitessurletiers,lanaturedes données concernées, la finalité de la de- mande,laduréedel’autorisationainsique le statut de l’autorisation. FiDA : un schéma de partage de données standardisé (« data-sharing schemes ») Enunmot : industrialisation. FiDAstruc- turelastandardisationviadessystèmesde partage (« schemes »), en définissant no- tamment les standards de données, les API, lesmodalitésdegouvernance, les rè- glesderesponsabilité,ainsiquedesméca- nismes de règlement des litiges. FiDAet la place financière luxembourgeoise Trois impacts transverses communs à l’ensembledes secteurs de laplacefinan- cière : -Data/IT:lesdonnéesfinancièresdevien- nentuneressource“exposable”àdestiers autorisés ; elles doivent donc être pilotées commeunproduit.Celaimpliquedebâtir etd’exploiterdesAPIindustrialisées,d’as- surer une traçabilité bout-en-bout (accès, échanges, preuves) et d’élever durable- ment la qualité des données (référentiels, cohérence, disponibilité). - Expérience client : l’avantage concurren- tiel sedéplaceravers la simplicité et la lisi- bilité du contrôle accordé au client. Le principalenjeuestdedéployeruntableau deborddespermissionsetunegestiondu consentementréellementcompréhensible et réversible, y compris lorsque des sous- traitantsoupartenairesopèrentunepartie du parcours (distribution, gestion délé- guée, outsourcing IT). - Marché / écosystème : les data-sharing schemes deviendront la charpente du partage (standards, interopérabilité, mo- dalités de coûts, règles de responsabilité). Ledéfipourlesacteursserad’enmaîtriser la gouvernance, de construire de nou- veaux partenariats pertinents, et de s’adapter à une comparabilité accrue des offres et des services. Pour les sociétés de gestion et gestion- nairesd’actifs,l’enjeuprincipalporterasur la qualité et la structuration des données d’investissement,aveclamiseenplacede référentiels robustes (positions, transac- tions, frais, documentation, caractéris- tiques produits, reporting, et, selon le périmètre, informations liées aux par- cours d’adéquation/appropriation). Elles devront rendre ces données interopéra- bles et facilement consommables via des API standardisées. FiDA peut leur apporter des bénéfices concrets : amélioration de l’expérience client,conseilspluspertinentsetréduction desfrictionstoutaulongdesparcours.En contrepartie, l’ouverture des données ac- croît la comparabilité des offres, ce qui peutintensifierlapressionsurladifféren- ciation et lesmarges, en facilitant la subs- titution entre acteurs. Pour les banques, FiDA accélère l’évolu- tionversunmodèle“plateforme”,articulé autourd’API,detableauxdeborddeper- missions et demécanismes depreuve. En tant que data holders parmi les plus solli- cités, elles devront industrialiser des API robustes, mettre en place une journalisa- tion complète (traçabilité des accès et des échanges) et garantir un dashboard client réellementopérationneletsimpled’usage. Par ailleurs, FiDA favorise l’émergence d’expériencesdetype“super-agrégateur”, susceptibles de déplacer la relation client versdesacteurstiers.Danscecontexte,les banques devront arbitrer entre trois pos- tures stratégiques : - Défensive : sécuriser la relation client et enrichirl’expérienceutilisateurpourrester le point d’entrée principal ; - Coopérative : nouer des partenariats et distribuer leurs services au sein de plate- formes ; - Offensive : devenir elles-mêmes data usersafindereconstituerunevisionmulti- banque, sous réserve de l’autorisation ex- plicite du client. Pour les assureurs, FiDA peut simplifier et accélérer plusieurs parcours, notam- ment en IARD (assurance dommages aux biens) : souscription (moins de res- saisies et de pièces redondantes), gestion du contrat et certains processus de sinis- tres. En parallèle, la proposition insiste sur la nécessité de prévenir les risques d’exclusion financière : certaines catégo- ries de données, en particulier les plus sensibles,sontencadréesplusstrictement afin d’éviter qu’un partage accru n’ali- mente une segmentation excessive pou- vant conduire à l’exclusion. L’accès à davantage de données et une meilleure portabilité peuvent aussi inten- sifierlaconcurrence,avecunepressionac- crue sur les prix et les pratiques de segmentation. FiDA encadre toutefois l’usagedesdonnéespar desfinalitésdéfi- nies, des permissions explicites et des exi- gencesdenon-discrimination,notamment en interdisant de pénaliser un client du seul fait qu’il refuse de partager. Cela oblige les assureurs à renforcer la gouver- nance de leurs modèles de décision (tari- fication,souscription)etdeleurspratiques commerciales. Enfin,ladimension“écosystème”devient centrale : les assureurs devront structurer davantage leurs relations avec courtiers, comparateurs et plateformes (souvent data users), tout en maîtrisant la qualité des données, la responsabilité en cas d’in- cident,lesmodalitésd’indemnisationetla gestiondes litiges—des sujets qui se cris- talliserontlargementauseindesdata-sha- ring schemes. Enconclusion,FiDA(COM(2023)360)ne consiste pas simplement à « ouvrir » des données. Pour lesbanques, l’enjeumajeur est l’évolution vers une logique de plate- forme et la compétition pour conserver la maîtrisedel’interfaceclient.Pourlesassu- reurs, les gains d’efficacité attendus s’ac- compagnent d’une exigence élevée de préventionde l’exclusion et d’usage équi- tabledesdonnées.Pourlessociétésdeges- tion, le centrede gravité sedéplace vers la standardisation,laportabilitédesdonnées patrimoniales et lagouvernancedes stan- dards qui structureront l’écosystème. Les acteurs de la place devront aborder FiDA non pas comme un simple projet d’implémentation, mais comme un pro- gramme structurant articulé autour de trois piliers : Réglementaire en assurant la conformitéetnotammentviaunegouver- nanceclaire;Technologiqueendéployant les capacités nécessaires (notammentAPI et dashboard) et en intégrant dès l’origine les exigences de sécurité des systèmes et de protectiondes données ; et Stratégique en pilotant les impacts concurrentiels, les partenariats et le positionnement sur la chaîne de valeur. Enfin, le rôle des régulateurs (CSSF et CAA), tout comme celui des associations professionnelles — notamment l’ABBL, l’ALFI et l’ACA—seradéterminant pour garantir une mise enœuvre standardisée etharmonisée.Leuractionestclépourali- gner les pratiques en matière de gouver- nance et gestion des données, de choix technologiques, de flux de communica- tionetd’interfacesfront-end,etpouréviter une approche fragmentée qui brouillerait lacompréhensiondesclientsquantàleurs droitsetàl’exerciceeffectifdecesderniers. Youssef E L M AGHRAOUI – Senior Manager François B ARRET – Director Aida W IFAQ - Manager HACA Partners – ICT Risk Team Financial DataAccess au Luxembourg : une transformation annoncée &OLHQW 'DWD +ROGHU 'DWD 8VHU P wC Luxembourg annonce la troi- sième édition élargie de «Out of the shadows: CISOs and DPOs in the spotlight*», un moment clé pour ces deux fonctions. Les résultats de l’en- quête 2026 montrent comment les évolu- tions réglementaires telles que DORA, NIS2, le Data Gover- nance Act et le Data Act continuent d’élargir les res- ponsabilités, tandis que les technologies émergentes, en particulier l’intelligence artificielle (IA) et les solu- tions cloud, redéfinissent les réalités opérationnelles. Les Chief Information Security Officers (CISOs) et les Data Protection Officers (DPOs) sont désor- mais davantage impliqués dans les grands projets de transformation, la gestion des incidents et les discussions de gouvernance, ce qui démontre leur influence croissante au sein des organisations. En juillet 2016, PwC a lancé la première enquête «Out of the shadows: CISOs in the spotlight!», sui- vie d’une deuxième édition en 2018 (en collabora- tion avec le CPSI) et d’une troisième en 2020, pré- parée avec le Club de la Sécurité de l’Information – Luxembourg (CLUSIL). PwC a ensuite été décidé d’élargir le périmètre de l’étude en incluant les DPOs et en collaborant avec la Commission Nationale pour la Protection des Données (CNPD) et l’Institut Luxembourgeois de Régulation (ILR) pour publier deux nouvelles enquêtes en 2022 et 2024. La CSSF a également contribué à l’édition 2024 de l’enquête. Alors que les entreprises accélèrent leur transfor- mation numérique, les rôles des CISOs et des DPOs sont devenus essentiels pour maintenir la confiance, la résilience et la conformité réglemen- taire. Au Luxembourg, les risques cyber, les exi- gences en matière de protection des données et les avancées technologiques s’intensifient simul- tanément, plaçant ces deux fonctions au cœur de la prise de décision stratégique. L’édition de cette année vise à apporter davantage de clarté sur l’évolution des métiers de CISO et DPO au Luxembourg. En explorant les réalités, contraintes et opportunités auxquelles ils font face, elle aide les organisations à renforcer leurs cadres de gouvernance, à aligner leurs ressources sur les attentes et à se préparer à la prochaine vague de changements réglementaires et technologiques. Surtout, elle reconnaît la contribution essentielle des CISOs et des DPOs pour préserver la confiance et favoriser une croissance numérique durable. Le rapport met également en lumière des défis persistants. De nombreux CISOs continuent de dépendre des départe- ments informatiques, ce qui soulève des questions d’indépendance et de potentiels conflits d’intérêts. La ges- tion des budgets reste inégale, les silos internes continuent de freiner l’efficacité et les contraintes de res- sources limitent la capacité à répon- dre aux attentes croissantes. Les DPOs, de leur côté, doivent également naviguer dans une complexité grandissante, en conciliant obligations réglementaires et soutien technologique et organisationnel limité. Dans le même temps, l’enquête souligne des évo- lutions encourageantes. Malgré les défis liés à leur indépendance, les CISOs et DPOs voient leurs contributions de plus en plus prises en compte dans les discussions stratégiques. Par ailleurs, la sensibilisation aux risques liés à la cybersécurité et à la protection de la vie privée progresse au sein des organisations, ce qui se traduit par une impli- cation renforcée dans les initiatives de résilience, les programmes de gouvernance des données et les projets liés à l’IA. Maxime Pallez (portrait), Advisory Director, Cybersecurity chez PwC Luxembourg, a déclaré : « Le Luxembourg se distingue comme une juri- diction de premier plan enmatière d’engagement en cybersécurité, soutenue par des initiatives nationales telles que la Luxembourg House of Cybersecurity.Alors que les cybermenaces et l’in- novation technologique redéfinissent le paysage, de nouvelles réglementations européennes ren- forcent la résilience opérationnelle et favorisent un environnement numérique plus sûr. Avec l’augmentation des cyberattaques et des préoccu- pations liées à la vie privée, le moment est venu pour les organisations d’adopter des stratégies proactives et robustes de cybersécurité et de pro- tection des données dans tous les secteurs. En s’ap- puyant sur ces deux piliers, les organisations se préparent à leur croissance future. » Antonin Jakubse (portrait), Advisory Senior Manager, Privacy chez PwC Luxembourg, a déclaré : « Les CISOs et les DPOs sont au cœur de la résilience organisationnelle, apportant leur expertise à l’intersection cruciale de la protection de la vie privée, de la sécurité, de la conformité et de la prise de décision stratégique. Leur exper- tise combinée permet aux organisations de pro- téger les données sensibles, de garantir le respect des exigences réglementaires et de confidentialité en constante évolution, et d’intégrer systémati- quement les considérations de protection de la vie privée dans les décisions stratégiques et opé- rationnelles, afin de permettre une utilisation sûre des nouvelles technologies. En renforçant la gouvernance et en sensibilisant les plus hauts niveaux de l’organisation aux risques liés à la confidentialité et à la cybersécurité, ils mettent en place des protections solides qui soutiennent la stabilité opérationnelle à long terme et la crois- sance des revenus. » * Téléchargez le rapport sur https://urls.fr/sc1e9j Sortis de l’ombre : les CISOs et les DPOs sous les projecteurs !