Guide forensique
Section 1033 du CFPB : le calendrier de conformité de l'open banking américain
Équipe Turing Verify · Mis à jour mai 2026
La Section 1033 de la loi Dodd-Frank reconnaît au consommateur le droit d'accéder à ses données financières et d'autoriser des tiers à y accéder pour son compte. Le CFPB a finalisé la règle d'application (Personal Financial Data Rights) en octobre 2024 : les institutions couvertes doivent exposer les données autorisées par le consommateur via des API conformes à un standard qualifié, selon un déploiement échelonné par taille d'actifs qui court jusqu'en 2030. C'est l'open banking américain, transformé en obligation opérationnelle.
Le calendrier échelonné
- Avril 2026 : institutions de dépôt détenant 250 milliards USD d'actifs ou plus, et institutions non dépositaires couvertes par la règle.
- Avril 2027 : de 10 à 250 milliards USD.
- Avril 2028 : de 3 à 10 milliards USD.
- Avril 2029 : de 1,5 à 3 milliards USD.
- Avril 2030 : de 850 millions à 1,5 milliard USD.
- Sous 850 millions USD : actuellement exemptées des exigences d'API.
Ces dates reflètent la règle finale d'octobre 2024. Un contentieux, une nouvelle réglementation ou une action du Congrès pourraient les ajuster ; vérifiez l'état en vigueur sur consumerfinance.gov.
Les six catégories de données
- Transactions : 24 mois d'historique par compte couvert.
- Solde : solde courant et solde disponible.
- Conditions contractuelles : contrats, grilles tarifaires et taux.
- Paiements à venir : paiements programmés et obligations récurrentes.
- Vérification de compte : numéro de compte et numéro de routage.
- Vérification de base pour l'initiation de paiement : les informations nécessaires pour initier un paiement depuis le compte.
La règle interdit de facturer le consommateur ou le tiers autorisé pour cet accès, et exige un format lisible par machine conforme à un standard qualifié. FDX 6.0 et les versions suivantes sont le choix dominant ; la règle admet des alternatives qui remplissent les critères.
Ce qui change pour les agrégateurs (Plaid, Yodlee, Akoya, MX)
Pendant des années, les agrégateurs ont connecté les applications aux comptes bancaires par accords bilatéraux ou, à défaut, par screen scraping avec identifiants stockés. La Section 1033 transforme cet accès en cadre régulé : les agrégateurs deviennent des tiers autorisés, avec des obligations explicites de consentement éclairé (données, finalités et durée nommées), des limites d'usage (publicité ciblée, vente croisée ou cession à des tiers exigent un consentement supplémentaire), la révocation à tout moment et la résolution des litiges. À l'horizon 2030, l'essentiel du flux de données autorisées aux États-Unis passera par API, et l'ère du scraping par identifiants deviendra résiduelle.
Ce que les fintechs devraient faire en 2026
- Auditer les dépendances d'accès aux données : quelles banques relèvent du palier d'avril 2026, lesquelles de 2027 et des suivants.
- Aligner les parcours de consentement sur le niveau d'explicitation exigé par la règle, avec une révocation réellement opérationnelle.
- Implémenter FDX 6.0 ou une version ultérieure comme spécification d'intégration.
- Documenter les limites d'usage des données et se préparer aux examens du CFPB (les grands agrégateurs passent sous supervision directe).
L'onboarding exige toujours la vérification documentaire
La Section 1033 régit le flux de données, pas l'authenticité des documents. À l'entrée en relation d'une fintech autorisée, les pièces d'identité doivent toujours être vérifiées de manière forensique. Essayez une vérification gratuite.
Questions fréquentes
La Section 1033 est-elle l'équivalent de PSD2 ?
Conceptuellement proche, opérationnellement distincte. Les deux instaurent un open banking avec autorisation du consommateur : PSD2 impose l'accès par API dans l'UE via des standards techniques réglementaires ; la Section 1033 impose l'équivalent aux États-Unis avec FDX comme standard de fait. Le périmètre de données et les détails de protection diffèrent.
La règle survivra-t-elle aux contentieux ?
Plusieurs recours ont été déposés depuis octobre 2024, dont certains sont toujours pendants. Le mécanisme de financement du CFPB a passé le contrôle de la Cour suprême dans CFPB v. CFSA (2024) ; les recours contre la règle 1033 visent des dispositions précises, pas sa constitutionnalité. L'issue la plus probable est un ajustement partiel, pas une invalidation totale.
Quelles institutions restent hors champ ?
Les institutions de dépôt détenant moins de 850 millions USD d'actifs sont aujourd'hui exemptées des exigences d'API. La trajectoire réglementaire vise à étendre les données couvertes à d'autres contextes financiers (BNPL, paie, assurance) par voie de réglementation ultérieure.