L’open banking entre en vigueur — puis non : l’échéance d’avril 2026 du CFPB sur la 1033 et les nouvelles règles des données financières

Une échéance à la fois atteinte et suspendue

Le 1ᵉʳ avril 2026 est arrivé comme l’échéance initialement prévue de mise en conformité pour les plus grandes banques au titre de la règle Personal Financial Data Rights du CFPB, finalisée en vertu de la Section 1033 du Dodd-Frank Act en octobre 2024. La règle était claire : les institutions financières couvertes doivent permettre aux consommateurs — et à tout tiers autorisé par eux — d’accéder à l’historique des transactions, aux soldes et aux conditions des comptes via des API standardisées, sans frais, avec consentement révocable. Le calendrier échelonné fixait les plus grandes banques au 1ᵉʳ avril 2026 et les plus petites institutions couvertes au 1ᵉʳ avril 2030.

L’arrivée du 1ᵉʳ avril 2026 n’a toutefois pas produit d’événement d’application contraignant. Comme le notait l’analyse de Cozen O’Connor : « la date du 1ᵉʳ avril est arrivée, mais pas comme déclencheur d’application contraignant ». Un tribunal fédéral du district Est du Kentucky a enjoint le CFPB de ne pas appliquer la règle pendant la reconsidération de l’agence. Le CFPB lui-même, sous une nouvelle direction, a déposé une motion pour retirer entièrement la règle, le directeur juridique Mark Paoletta qualifiant la règle d’« illégale et devant être écartée ». Le 22 août 2025, le CFPB a publié un Advance Notice of Proposed Rulemaking (ANPRM) signalant un effort de remplacement.

Le résultat est une réglementation qui figure dans les textes, est suspendue par décision de justice et est en cours de réécriture par l’agence qui l’avait finalisée seize mois plus tôt.

Ce que la règle exigeait réellement

Même avec la réécriture en cours, les obligations substantielles de la règle 1033 originale restent le modèle le plus probable de ce qui la remplacera — et constituent une base utile pour les banques et fintechs ayant déjà investi dans la conformité. La règle originale exigeait des institutions couvertes de :

• Partager les données financières autorisées par le consommateur — historiques de transactions, soldes, conditions de compte — sans frais pour le consommateur.
• Ne fournir l’accès qu’avec un consentement explicite et révocable du consommateur.
• Mettre en place des API standardisées alignées sur les standards techniques et de consentement du consortium Financial Data Exchange (FDX).
• Honorer l’accès des tiers (agrégateurs et fintechs) sans imposer de barrières techniques ou contractuelles punitives.

Les standards FDX sont l’échafaudage pratique sur lequel la plupart des institutions concernées se sont appuyées. Comme le souligne l’analyse Digital API, des lacunes subsistent dans le cadre open-banking au sens large — notamment l’absence d’un système d’accréditation unifié pour les tiers et la fragmentation persistante des standards techniques — mais la couche FDX est réelle et opérationnelle.

La réponse de l’industrie se divise en trois

La pause a divisé les acteurs en trois camps qui agissent différemment :

Banques qui ont déjà construit. Les grandes institutions ayant beaucoup investi dans la conformité 1033 sur 2024–2025 maintiennent largement l’infrastructure en service. Le coût de construction est consommé ; le coût opérationnel de fonctionnement est modeste ; et toute règle réécrite supposera presque certainement une version des mêmes obligations d’accès aux données. Comme l’observe l’analyse Cozen O’Connor sur JD Supra, c’est une « période intérimaire qui appelle action stratégique plutôt qu’inaction » — pression-test des systèmes existants, revue des accords fournisseurs, formalisation des politiques d’accès.

Banques qui n’ont pas encore construit. Les institutions plus petites et plus lentes attendent surtout. Avec l’application en pause et une nouvelle réglementation en chantier, il est rationnel de différer la dépense en capital jusqu’à ce que la règle de remplacement clarifie les obligations — particulièrement sur la récupération de coûts auprès des tiers, que la règle originale interdisait.

Agrégateurs de données et fintechs. Comme le montre la couverture PYMNTS de la réponse des agrégateurs, ces derniers militent publiquement pour des cadres « d’accès sécurisé » durant la réécriture. Leur modèle commercial dépend d’un accès aux données bancaires autorisé par le consommateur, et toute réécriture qui réintroduit des frais ou restreint l’accès tiers menace leur unit economics. Ils ont un intérêt actif à façonner la règle de remplacement.

Ce qu’avril 2026 signifie en pratique

Pour les banques et fintechs opérant aux États-Unis, l’état pratique en avril 2026 est :

1. Aucune application active de la règle d’octobre 2024 en attendant le contentieux et la réécriture.
2. Direction réglementaire claire : les obligations open-banking arriveront sous une forme ou une autre — la question est la forme de la règle, pas son existence.
3. Investissement actif des grandes banques et agrégateurs dans une infrastructure alignée FDX, en supposant que la règle de remplacement utilisera une plomberie similaire.
4. Incertitude sur la récupération des coûts — savoir si la règle de remplacement autorisera les banques à facturer les tiers pour l’accès aux données est une question ouverte centrale qui affecte matériellement les modèles fintech.
5. Plus petites institutions couvertes toujours sur un calendrier nominal au 1ᵉʳ avril 2030, mais sans véritable visibilité sur ce que la règle exigera d’ici là.

Pourquoi les observateurs mondiaux devraient s’en soucier

Le débat américain sur la 1033 compte à l’international parce qu’il fixe le modèle — bon ou mauvais — que d’autres juridictions vont lire. Le projet algérien d’open banking, les propositions PSD3/PSR de l’UE, l’évolution continue du Open Banking au Royaume-Uni et les régimes de droits sur les données conçus dans le Golfe regardent tous si la Section 1033 atterrit comme un cadre open-banking national exploitable, ou comme un avertissement sur la durabilité réglementaire.

Pour les institutions exposées à plusieurs juridictions — banques mondiales, fintechs multi-régions, fournisseurs vendant de l’infrastructure d’agrégation — le pari sûr en 2026 est : investir dans une plomberie alignée FDX, traiter le consentement consommateur comme une primitive d’ingénierie de premier plan, et supposer qu’une forme de portabilité obligatoire des données est une réalité 2027–2030 même si la règle américaine continue de bouger. La direction du voyage est claire ; le véhicule précis ne l’est pas.

L’épisode 1033 est aussi une leçon pour les régulateurs. Une règle finalisée avec une date de conformité publiée n’est pas une règle terminée tant qu’elle n’a pas survécu aux transitions politiques et au contrôle judiciaire. Banques, fintechs et consommateurs absorbent le coût des coups de barre réglementaires — ce qui plaide pour des processus de rulemaking plus lents et plus durables.

Sources et lectures complémentaires

• CFPB Finalizes Personal Financial Data Rights Rule — Consumer Financial Protection Bureau
• Section 1033 Compliance Date: Open Banking Rule Enjoined and Under Reconsideration — Cozen O’Connor via JD Supra
• CFPB Finalizes Open Banking Rule, Compliance Begins April 2026 — Moody’s
• Data Aggregators Push Secure Access as Rule 1033 Rewrite Looms — PYMNTS
• Open Banking Trends — Digital API