Rapport final - Comité consultatif sur le système bancaire ouvert
Table des matières
- Sommaire
- Introduction
- Défis et opportunités
- Vision et résultats pour les consommateurs
- Portée
- Gouvernance
- Règles communes
- Accréditation
- Spécifications et normes techniques
- Conclusion et prochaines étapes
- Liste des recommandations
- Glossaire
1. Sommaire
Qu'est-ce qu'un système bancaire ouvert?
Un système bancaire ouvert permet aux consommateurs et aux petites entreprises de transférer leurs données financières de façon sécuritaire et efficace entre les institutions financières et les tiers fournisseurs de services accrédités. Ce transfert permet aux consommateurs d'obtenir un portrait financier plus complet et de bénéficier d'autres services utiles pour améliorer leurs résultats financiers.
Un système bancaire ouvert permet d'offrir aux familles un plus large éventail d'outils de planification budgétaire ou d'épargne, et de fournir aux Canadiens financièrement marginalisés, un accès à une aide à la gestion de leurs finances qui serait automatisé et à faible coût. Il permet également aux Canadiens ayant un historique de crédit limité, y compris les nouveaux arrivants, d'accéder au crédit en fonction de leur historique de transactions financières.
La proposition de valeur d'un système bancaire ouvert pour les petites et moyennes entreprises (PME) est également forte. Un système bancaire ouvert permet d'accélérer l'octroi des prêts et de donner accès à de nouvelles formes de capital. Les outils financiers automatisés fournis par l'intermédiaire d'un système bancaire ouvert peuvent simplifier la gestion des factures, de la paie et des impôts et ainsi réduire la complexité associée à l'exploitation d'une petite entreprise.
Pourquoi maintenant?
L'économie mondiale subit une transformation numérique, entraînant un changement rapide dans tous les secteurs. Parallèlement, les juridictions du monde entier reconnaissent de plus en plus que les consommateurs ont le droit d'utiliser et de transférer leurs données d'une manière qui leur est avantageuse. Le Canada a pris des mesures importantes pour reconnaître ce droit à la portabilité des données, y compris dans la Charte canadienne du numérique et comme le propose le projet de loi C-11.
Les Canadiens recherchent de plus en plus la commodité des services axés sur les données. Cette tendance inclut un nombre croissant de consommateurs canadiens qui partagent leurs données financières à l'aide du grattage d'écran pour avoir accès à des services financiers novateurs.
Le grattage d'écran présente des risques réels en matière de sécurité et de responsabilité pour les Canadiens, car il exige que ces derniers communiquent leurs justificatifs d'identité à des tiers fournisseurs de services. À mesure que le grattage d'écran se répand, les risques connexes pour les consommateurs et les institutions financières du Canada augmentent également.
Assurer dès maintenant la mise en place d'un système bancaire ouvert permettra aux Canadiens et aux petites entreprises d'être mieux placés pour se rétablir des répercussions de la pandémie de la COVID-19 et prospérer. Le système financier du Canada sera prêt à soutenir la concurrence dans une économie numérique en évolution rapide et de plus en plus compétitive. En guise de première démonstration du droit à la portabilité des données, le système bancaire ouvert servira ultérieurement de plan directeur utile pour transposer ces principes dans d'autres secteurs de l'économie canadienne.
Quelles données devrait-on inclure dans un système bancaire ouvert?
Pour réussir la transition au-delà du grattage d'écran, la portée d'un système bancaire ouvert doit être suffisamment exhaustive pour permettre aux Canadiens d'avoir accès à une vaste gamme de services financiers utiles, compétitifs et favorables aux consommateurs.
Pour ce faire, la phase initiale de la portée du système bancaire ouvert du Canada devrait inclure les données qui sont actuellement accessibles aux consommateurs et aux petites entreprises par l'intermédiaire de leurs applications bancaires en ligne. Les institutions financières devraient être autorisées à exclure les données dérivées – qui sont décrites comme des données améliorées par les institutions financières afin d'offrir une valeur supplémentaire à leurs consommateurs, comme des évaluations internes du risque de crédit.
Les données sur les consommateurs, détenues par les tiers fournisseurs de services dans un système bancaire ouvert, devraient également être incluses dans la portée initiale d'un système bancaire ouvert, sous réserve des exceptions connexes applicables aux données dérivées.
Le flux de données entre les institutions financières et les tiers fournisseurs de services doit toujours être soumis à un consentement exprès (c'est-à-dire que les consommateurs peuvent choisir de transférer leurs données dans un seul sens ou de permettre des échanges de données entre deux parties).
En limitant la portée initiale des fonctions du système bancaire ouvert aux activités à faible risque et en lecture seule, (c'est-à-dire en permettant aux tiers fournisseurs de services de recevoir des données financières des consommateurs, sans toutefois pouvoir modifier ces données sur les serveurs des banques), il sera possible d'offrir plus rapidement aux Canadiens un système bancaire ouvert sécurisé. Une fois que le système sera en place et fonctionnel, il sera possible d'envisager d'étendre la portée aux fonctions avec accès en écriture, comme les fonctions de paiement ou de création de compte, en plus d'inclure de nouveaux types de données.
Comment devrait-on mettre en œuvre un système bancaire ouvert?
Afin d'éliminer le grattage d'écran, la phase initiale du système bancaire ouvert devra être mise en œuvre rapidement afin que le système soit opérationnel d'ici janvier 2023. La mise en œuvre ne devrait pas être exclusivement dirigée par le gouvernement ou par l'industrie. Le Canada devrait plutôt adopter une approche hybride canadienne qui reconnaît la possibilité de collaboration entre le gouvernement et l'industrie, chacun jouant un rôle distinct.
Un système bancaire ouvert hybride canadien devrait comporter les éléments fondamentaux suivants :
- des règles communes aux participants de l'industrie dans le système bancaire ouvert, pour garantir que les consommateurs sont protégés et que la responsabilité incombe à la partie fautive;
- un cadre et un processus d'accréditation permettant aux tiers fournisseurs de services d'accéder au système bancaire ouvert;
- des spécifications techniques qui rendent possible un transfert sécurisé et efficient des données et qui répondent aux objectifs stratégiques établis.
Dans un premier temps, le gouvernement devra nommer un responsable du système bancaire ouvert, lequel sera mandaté pour solliciter l'industrie afin de faire avancer ces éléments, et rendra compte au sous-ministre des Finances du Canada. Après la conception du système, l'industrie aura besoin du soutien du responsable pour mettre le système à l'essai et se faire accréditer. Par la suite, les Canadiens auront accès à des produits et services bancaires ouverts sécurisés et efficients, selon la portée initiale décrite ci-dessus.
Pendant la conception et la mise en œuvre d'un système bancaire ouvert, le gouvernement devra également chercher à obtenir les pouvoirs et les ressources nécessaires pour mettre sur pied une entité de gouvernance conçue expressément pour effectuer l'administration en continue du système. Cette entité devrait être adaptée à l'objectif et comprendre une représentation équilibrée des participants au système bancaire ouvert ainsi que des représentants des consommateurs. Le gouvernement devrait établir le mandat et les objectifs de l'entité, mais déléguer la prise de décision et l'administration aux membres de cet organisme.
Certains intervenants ont fait remarquer que les progrès ne seront peut-être pas simples : il pourrait y avoir des obstacles législatifs ou réglementaires existants à l'établissement d'un système bancaire ouvert. Le gouvernement devrait chercher à éliminer ces obstacles dès que possible.
À la fin du mandat du responsable du système bancaire ouvert, la gouvernance du système passera à une entité de gouvernance officielle qui supervisera l'administration en continue du système. Le travail du responsable orientera le développement de l'entité de gouvernance, mais le processus de mise en place de cette dernière sera distinct, pour permettre au responsable de se concentrer sur la mise en œuvre rapide du système bancaire ouvert.
Comment les consommateurs continueront-ils d'être protégés?
La confiance des consommateurs est essentielle au succès d'un système bancaire ouvert. Afin d'en assurer l'adoption, les consommateurs doivent être convaincus que le système est sécurisé et qu'ils sont protégés en cas de problème. De plus, un système bancaire ouvert repose sur le principe qu'une personne a le droit de contrôler, de modifier, de gérer et de supprimer des renseignements sur elle-même et de décider quand, comment et dans quelle mesure ces renseignements sont communiqués à d'autres parties.
Afin de compléter la législation existante en matière de protection des consommateurs, des règles supplémentaires régissant les domaines de la responsabilité, de la protection de la vie privée et de la sécurité seront requises. Ces règles devront être élaborées dans le but d'assurer la protection en continue des consommateurs et une expérience positive pour les consommateurs pendant qu'ils utilisent le système.
À quoi ressemble le succès au Canada?
Un système bancaire ouvert connaîtra du succès au Canada si les consommateurs et les petites entreprises peuvent volontairement partager leurs données de façon sécurisée et efficace afin d'accéder à des produits et services utiles sans avoir recours au grattage d'écran. La disponibilité de ces nouveaux services améliorera le bien-être des entreprises et des consommateurs canadiens et favorisera l'innovation et la croissance économique au Canada, sans compromettre la sécurité et la stabilité du robuste système financier canadien.
2. Introduction
En termes simples, le système bancaire ouvert est un système qui permet aux consommateurs de partager leurs données financières entre les institutions financières et les tiers fournisseurs de services accrédités. Il permet aux consommateurs de mieux contrôler leurs données et d'utiliser de façon sécurisée de nouveaux services financiers axés sur les données qui peuvent les aider à mieux gérer leurs finances et à améliorer leurs résultats financiers.
En 2018, face à la croissance des services de technologie financière et dans le cadre des efforts visant à renforcer et à moderniser le secteur des services financiers, le ministre des Finances a annoncé un examen des mérites d'un système bancaire ouvert et a chargé un comité consultatif sur le système bancaire ouvert d'en diriger l'examen.
Au cours de la première phase, le Comité a examiné la question de savoir si le système bancaire ouvert pouvait offrir des avantages aux Canadiens et a présenté un rapport dans lequel il concluait que l'élaboration d'un cadre pour le système bancaire ouvert pourrait améliorer le bien-être des consommateurs, favoriser l'innovation et la croissance économique et atténuer les risques qui se présentent actuellement sur le marché. Footnote 1 Un deuxième mandat a commencé en janvier 2020, lequel consiste à collaborer avec les intervenants afin de déterminer les éléments à considérer lors de la mise en œuvre, notamment en matière de gouvernance, du contrôle des données personnelles par les consommateurs, de la protection de la vie privée et de la sécurité.
Afin de faciliter les discussions avec les intervenants et de faire avancer l'examen en tenant compte des contraintes réelles et pratiques de la pandémie de la COVID-19, le Comité a élaboré un modèle qui propose une approche hybride et canadienne en matière de système bancaire ouvert. Ce modèle a ensuite été évalué par des intervenants au cours de cinq séances de consultation virtuelle à la fin de 2020.
Le présent rapport final est le fruit du travail cumulatif entrepris, y compris deux phases de consultation auprès d'un large éventail d'intervenants, une mobilisation des experts en la matière, un examen approfondi des systèmes bancaires ouverts à l'étranger, ainsi que l'expertise du Comité. Il présente une vision de ce qu'un système bancaire ouvert devrait offrir aux Canadiens et une feuille de route pour mettre en œuvre un tel système.
3. Défis et opportunités
L'économie mondiale subit une transformation numérique, entraînant un changement rapide dans tous les secteurs. Parallèlement, la santé financière représente une préoccupation permanente pour la plupart des Canadiens. L'incertitude que ressentent les Canadiens au sujet de leur avenir financier a été aggravée par les répercussions économiques de la pandémie de COVID-19, alors que 52 % des Canadiens ont déclaré que la pandémie avait une incidence sur leurs finances et que 53 % ont affirmé avoir dû se prévaloir d'au moins un programme de soutien gouvernemental lié à la COVID.Footnote 2
Il est de plus en plus reconnu dans le monde que les consommateurs ont le droit d'utiliser et de transférer leurs données d'une manière qui leur est avantageuse. Le Canada a pris des mesures pour reconnaître ce droit à la portabilité des données, l'exprimant d'abord dans la Charte du numérique, puis le proposant dans le projet de loi C-11.
Les Canadiens choisissent déjà de déplacer leurs données financières. Plus de 4 millions de Canadiens utilisent actuellement une méthode de transfert de données en ligne appelée « grattage d'écran » pour communiquer leurs données financières afin d'accéder à une vaste gamme d'outils de gestion financièreFootnote 3.
Le grattage d'écran crée des risques en matière de sécurité et de responsabilité pour les Canadiens et leurs institutions financières, car il exige que les consommateurs communiquent leurs justificatifs de connexion bancaire à des tiers fournisseurs de services. À mesure que le grattage d'écran se répand, les risques connexes augmentent également. Bien que les intervenants divergent quant à la meilleure façon d'atténuer le risque, ils sont unanimement d'accord pour dire que des mesures doivent être prises pour faire face à ces risques et pour s'assurer que les consommateurs, les petites entreprises et l'économie en général puissent tirer le meilleur parti des opportunités qu'offre un système bancaire ouvert.
La mise en œuvre d'un système bancaire ouvert vise à rendre possible un partage de données sécurisé et efficace qui est autorisé par les consommateurs, en concrétisant le droit des Canadiens à la portabilité des données et en leur offrant un accès sécurisé et pratique à un portrait complet de leurs finances. Le fait d'offrir un système bancaire ouvert aidera les petites entreprises à se rétablir des répercussions de la COVID-19 et à croître.
Un système bancaire ouvert favorisera par ailleurs la compétitivité du secteur financier canadien à l'échelle mondiale. Il permettra de s'assurer que le secteur n'est pas seulement préparé pour ce qui se profile à l'horizon, mais est aussi en mesure de prospérer à long terme.
Étant donné que la mise en œuvre du système bancaire ouvert au Canada sera une première démonstration du principe de la portabilité des données énoncé dans la Charte du numérique, il servira également de plan directeur utile pour transposer ces principes dans d'autres secteurs de l'économie canadienne.
4. Vision et résultats pour les consommateurs
Un système bancaire ouvert repose sur le principe qu'une personne a le droit de contrôler, de modifier, de gérer et de supprimer des renseignements sur elle-même et de décider quand, comment et dans quelle mesure ces renseignements sont communiqués à d'autres parties. Au Canada, ce droit découle des principes de mobilité des données que le gouvernement a énoncés pour la première fois dans la Charte du numérique, et qu'il a proposés dans le projet de loi C-11 et sa Loi sur la protection de la vie privée des consommateurs (LPVPC).
Un système bancaire ouvert au Canada devrait améliorer à la fois les résultats économiques et le bien-être des consommateurs. Il devrait favoriser le développement économique en augmentant la croissance globale du secteur financier, en allant au-delà du grattage d'écran et de la nécessité de conclure des contrats bilatéraux pour permettre une communication des données sécurisée, efficiente et autorisée par les consommateurs. En même temps, un système bancaire ouvert devrait également améliorer le bien-être en permettant aux consommateurs d'accéder à des services financiers nouveaux et novateurs d'une manière sécurisée, efficiente et centrée sur le consommateur.
Six résultats clés pour les consommateurs devraient guider cette vision et servir de fondement à un système bancaire ouvert au Canada :
- les données des consommateurs sont protégées;
- les consommateurs contrôlent leurs données;
- les consommateurs ont accès à un plus large éventail de services financiers utiles, concurrentiels et conviviaux;
- les consommateurs ont un accès fiable et uniforme aux services;
- les consommateurs disposent d'un recours lorsque des problèmes surviennent;
- les consommateurs profitent de normes cohérentes en matière de protection des consommateurs et de conduite du marché.
En plus de ces résultats proposés, un système bancaire ouvert doit être dans l'intérêt public, et ses avantages doivent s'appliquer de façon générale à tous les Canadiens. Cela vaut particulièrement pour les consommateurs qui sont marginalisés financièrement ou qui œuvrent en dehors des paramètres du cadre de travail traditionnel, comme les travailleurs à la pige. Pour y parvenir, et pour atténuer les risques potentiels pour ces groupes, l'inclusion financière devrait être prise en considération dans la conception d'un système bancaire ouvert et être complétée par des politiques, des programmes et des ressources d'éducation financière.
Les obstacles à l'inclusion financière, comme l'accessibilité à l'Internet à large bande, devront également être abordés pour que les avantages d'un système bancaire ouvert soient généralisés. L'incidence d'un système bancaire ouvert sur les Canadiens vulnérables, géographiquement éloignés et marginalisés financièrement devrait être surveillée de près au cours de la phase de mise en œuvre afin de s'assurer que les objectifs de la politique publique soient atteints.
L'une des questions fondamentales étudiées était d'évaluer dans quelle mesure un système bancaire ouvert devrait être exclusivement régi par la réglementation. Le Comité est fermement convaincu – et cela a été renforcé lors de consultations récentes avec l'industrie – qu'une approche exclusivement dirigée par le gouvernement ou par l'industrie ne conviendrait pas au Canada.
Le Canada a besoin d'une approche hybride et canadienne – une approche qui tire parti des avantages des modèles mis en œuvre ailleurs par l'industrie et le gouvernement, mais qui reflète mieux notre réalité et assure notre réussite future.Cette approche devrait être à la fois pragmatique et axée sur la collaboration, compte tenu des rôles distincts que le gouvernement et l'industrie doivent jouer. Pour que le Canada puisse tirer la valeur maximale du système, celui-ci devrait également être interopérable avec les systèmes bancaires ouverts internationaux. Le rapport qui suit décrit cette approche canadienne proposée et, compte tenu de la nécessité d'agir rapidement, présente des étapes pratiques et réalisables pour travailler incessamment à la réalisation de ce modèle.
La mise en œuvre d'un système bancaire ouvert au Canada doit être un effort de collaboration entre le gouvernement et l'industrie. L'industrie est la mieux placée pour gérer la mise en œuvre et l'administration d'un système bancaire ouvert, tandis que le gouvernement est nécessaire pour établir des objectifs stratégiques clairs, solliciter les participants et établir un cadre et un échéancier. Le gouvernement devrait éviter d'avoir une approche trop prescriptive au début d'un tel processus, car cela pourrait décourager l'innovation, ou encore d'en imposer trop peu, ce qui pourrait mener à des résultats inefficients sur le marché ou à de mauvais résultats pour les consommateurs.
Recommandations sur la vision
- Six résultats clés pour les consommateurs devront servir de fondement à un système bancaire ouvert au Canada :
- les données des consommateurs sont protégées;
- les consommateurs contrôlent leurs données;
- les consommateurs ont accès à un plus large éventail de services financiers utiles, concurrentiels et conviviaux;
- les consommateurs ont un accès fiable et uniforme aux services;
- les consommateurs disposent d'un recours lorsque des problèmes surviennent;
- les consommateurs profitent de normes cohérentes en matière de protection des consommateurs et de conduite du marché.
- L'inclusion financière devra être prise en considération dans la conception d'un système bancaire ouvert et être complétée par des politiques, des programmes et des ressources d'éducation financière.
- La mise en place d'un système bancaire ouvert au Canada nécessite une approche hybride et canadienne – une approche qui tire parti des avantages des modèles mis en œuvre ailleurs par l'industrie et le gouvernement, mais qui reflète mieux le contexte canadien.
5. Portée
La portée initiale d'un système bancaire ouvert doit être suffisamment vaste pour permettre aux Canadiens d'avoir accès à une vaste gamme de services financiers utiles, compétitifs et conviviaux. Afin de délaisser la pratique de grattage d'écran, un système bancaire ouvert doit assurer la continuité et donner accès à une gamme de produits et services qui répliquent les options actuellement offertes par le grattage d'écran. De plus, le système doit être positionné de manière à ajouter des fonctionnalités à mesure que le marché évolue.
5.1 Participants
Pour s'assurer que le plus grand nombre possible de Canadiens ont accès à un système bancaire ouvert, toutes les banques sous réglementation fédérale devraient être tenues de participer à la première phase d'un système bancaire ouvert au Canada. Les institutions financières sous réglementation provinciale, comme les coopératives de crédit, devraient avoir la possibilité de s'y joindre volontairement. D'autres entités, après avoir satisfait aux critères d'accréditation et suivi les règles du système bancaire ouvert, devraient être autorisées à participer au système.
5.2 Comptes d'utilisateurs
La portée initiale d'un système bancaire ouvert au Canada devrait permettre aux consommateurs et aux petites et moyennes entreprises (PME) de participer au système. La proposition de valeur d'un système bancaire ouvert pour les PME est particulièrement élevée, car celui-ci favorisera leur santé financière grâce à un meilleur accès au capital, au crédit et aux outils de gestion financière. La participation des PME au système bancaire ouvert contribuera également à faciliter la reprise économique après la pandémie.
Le Comité propose que le système bancaire ouvert soit conçu de manière à en permettre l'utilisation par tout titulaire de compte d'entreprise qui pourrait souhaiter avoir accès à un système bancaire ouvert. Reconnaissant que bon nombre de grandes entreprises clientes ont déjà conclu avec les banques des ententes de transfert de données adaptées aux objectifs, la première phase d'un système bancaire ouvert devrait donner la priorité à l'accès pour les titulaires de compte d'entreprise qui n'ont pas conclu de telles ententes.
5.3 Données de compte
Une estimation raisonnable pour déterminer quelles données devraient être incluses dans la portée initiale d'un système bancaire ouvert serait de considérer les données auxquelles les consommateurs ont généralement un accès rapide par l'entremise de leurs applications bancaires en ligne. Les données régulièrement fournies par les consommateurs et par les PME, ou à leur intention, devraient être incluses, comme les données fournies par les clients (par exemple, nom, adresse, coordonnées), les données de solde (par exemple, le montant d'argent figurant dans un compte), les données de transaction (par exemple, renseignements sur les retraits, les transferts et les dépôts), les données sur les produits (par exemple, numéros de compte, taux d'intérêt et frais) et les données accessibles au public (par exemple, emplacements des succursales et des guichets automatiques et heures d'ouverture des banques). Cette portée devrait comprendre les éléments suivants :
- les comptes chèques et comptes épargne;
- les comptes de placement auxquels les consommateurs peuvent accéder par l'entremise de leur portail bancaire en ligne, comme les régimes enregistrés d'épargne-retraite, les comptes d'épargne libre d'impôt et autres comptes de placement non enregistrés, y compris les actions, les obligations, les fonds communs de placement, les dépôts à terme et les certificats de revenu garanti;
- les produits de prêt, comme les cartes de crédit, les marges de crédit et les hypothèques.
Bien que des cas d'utilisation particuliers, comme des outils de suivi de budget personnel ou des conseillers en investissement automatisés, offrent un point de vue utile pour comprendre le système bancaire ouvert, l'innovation serait restreinte inutilement en rétrécissant la portée du système bancaire ouvert canadien à des cas d'utilisation précis. Cela ferait aussi en sorte que le système aurait continuellement à rattraper son retard pour suivre le rythme de la demande des consommateurs avec de nouveaux cas d'utilisation.
Afin que le système demeure pertinent pour les consommateurs et puisse suivre le rythme des innovations au pays et à l'étranger, sa portée doit évoluer à moyen et à long terme. L'inclusion d'autres types de données sur les consommateurs, notamment celles relatives aux télécommunications ou à l'énergie et aux services publics, devrait se faire de façon progressive au moyen d'une feuille de route claire qui serait élaborée une fois que le système serait bien établi et fonctionnerait bien. Toute expansion devra être étudiée avec précaution, en prenant en considération le contexte associé au régime réglementaire de chaque industrie.
Les données sur les assurances sont un cas d'espèce complexe, et les données bancaires ne devraient pas être utilisées pour souscrire des polices d'assurance dans le cadre de la portée initiale. Dans le cadre d'un système bancaire ouvert, des considérations futures en matière d'assurance comprennent l'évaluation de résultats potentiellement discriminatoires ou inéquitables en matière d'admissibilité et de couverture d'assurance, afin de s'assurer que les consommateurs sont protégés.
5.4 Données dérivées
Un système bancaire ouvert repose sur le principe qu'une personne a le droit d'utiliser ses données financières d'une manière qui lui est bénéfique. Parallèlement, les institutions financières recueillent et traitent des données brutes sur les consommateurs au moyen d'algorithmes et d'analyses dont elles sont propriétaires. Les données dérivées désignent des données qu'une institution financière améliore afin de fournir une valeur ou des perspectives supplémentaires au consommateur, comme des évaluations internes du risque de crédit ou de nouvelles offres de produits.
Dans bien des cas, les données dérivées sont la propriété de l'établissement qui a investi les ressources dans leur traitement. Par conséquent, les participants devraient avoir la capacité d'exclure les données dérivées d'un système bancaire ouvert. Lorsque ces données sont facilement accessibles au consommateur et qu'elles peuvent être consultées au moyen du grattage d'écran, les participants devraient avoir l'obligation de justifier leur exclusion.
Les intervenants ont beaucoup discuté de la question de savoir si les données fournies par les consommateurs, telles que le nom et l'adresse, devraient être incluses dans le champ d'application d'un système bancaire ouvert, ou si ces renseignements devraient être considérés comme étant « exclusifs » parce que les banques appliquent des processus de diligence raisonnable « connaissez votre client » pour confirmer ces renseignements. À notre avis, les renseignements fournis par le consommateur, y compris le nom et l'adresse, devraient être inclus dans le champ d'application d'un système bancaire ouvert et les consommateurs devraient être en mesure de transférer ces renseignements à des tiers fournisseurs de services. Toutefois, il ne faut pas s'attendre à ce que les processus de diligence raisonnable des banques s'appliquent une fois que les renseignements sont transférés, car toutes les parties doivent faire en sorte que leurs activités respectent les règlements auxquels elles sont assujetties, y compris les règlements canadiens sur la lutte contre le blanchiment d'argent et le financement du terrorisme. À cette fin, les tiers fournisseurs de services pourraient être tenus de mener un processus « connaissez votre client » distinct.
5.5 Fonction de « lecture seule» par opposition à la fonction d'« écriture »
Les intervenants s'entendent généralement pour dire que la portée initiale d'un système bancaire ouvert devrait permettre aux tiers fournisseurs de services de recevoir des données financières des consommateurs, mais non de modifier ces données sur les serveurs des banques. On appelle souvent cela l'« accès en lecture seule ».
Certaines commandes d'« accès en écriture » offrent par ailleurs une valeur potentielle aux consommateurs, comme effectuer des paiements ou créer des comptes. Bien que le système doive être développé de manière à pouvoir évoluer, de nombreux intervenants ont fait remarquer que les risques associés à ces fonctions étaient plus élevés et que les intégrer à la phase initiale augmenterait la complexité du système ainsi que les mesures de contrôles nécessaires, ce qui aurait pour conséquence de retarder la mise en œuvre du système. De plus, toute expansion éventuelle du système bancaire ouvert afin d'inclure les paiements devrait prendre en considération le contexte entourant le projet de modernisation des systèmes de paiements, afin d'assurer une harmonisation avec cet autre cadre.
5.6 Accès réciproque aux données
La portée initiale doit inclure le partage réciproque des données. Le principe d'accès réciproque aux données exige que tous les participants accrédités au sein d'un système bancaire ouvert puissent également être visés par des demandes de transfert de données autorisées par les consommateurs. Cela est conforme à la Charte du numérique et à la Loi sur la protection de la vie privée des consommateurs du Canada, car le droit d'un consommateur à la mobilité de ses données ne s'applique pas exclusivement aux données détenues par les banques.
La réciprocité doit être dictée par le consentement exprès du consommateur et les participants ne devraient pas être autorisés à exiger un accès réciproque aux données pour qu'un produit ou un service soit offert. Un consommateur pourrait demander le transfert de ses données entre des banques, de sa banque à un tiers fournisseur de services, d'un tiers fournisseur de services à une banque, ou encore un flux bidirectionnel entre deux participants. Étant donné que le partage des renseignements sera dicté par les consommateurs, il pourrait y avoir des situations où une seule partie serait tenue de partager les données qu'elle détient au sujet d'un consommateur.
Recommandations sur la portée
- Les banques sous réglementation fédérale devront être tenues de participer à la portée initiale du système bancaire ouvert, et les institutions financières sous réglementation provinciale, comme les coopératives de crédit, devraient avoir la possibilité d'y participer volontairement. La participation d'autres entités devrait être permise après que celles-ci aient satisfait aux critères d'accréditation et suivi les règles du système bancaire ouvert.
- La portée initiale s'appliquera tant aux consommateurs qu'aux PME.
- La portée initiale devra tenir compte des données qui sont actuellement disponibles pour les Canadiens par l'entremise de leurs applications bancaires en ligne, y compris les comptes chèques et d'épargne, les comptes de placement et les produits de prêt. La portée initiale des données partagées dans le système bancaire ouvert du Canada ne devrait pas se limiter à des cas d'utilisation précis.
- Les données fournies par les consommateurs, les données de solde, les données de transactions, les données sur les produits et les données accessibles au public devront faire partie de la portée initiale du système bancaire ouvert. Tous les participants de l'industrie auront le droit d'exclure les données dérivées et l'obligation de justifier toute exclusion.
- La portée initiale devra se limiter aux fonctions à accès en lecture seule. Toutefois, le système devra être conçu de manière à permettre que la portée soit étendue à de nouveaux types de données et à des fonctions à accès en écriture une fois que le système sera établi et que les risques pourront être pleinement compris et pris en compte.
- Tous les participants au système bancaire ouvert devronnt être visés à parts égales par les demandes de transfert de données autorisées par les consommateurs. La réciprocité sera dictée par le consentement exprès du consommateur et les participants ne seront pas autorisés à exiger un accès réciproque aux données afin d'offrir un produit ou service.
6. Gouvernance
Quelle que soit l'approche en matière de système bancaire ouvert, une gouvernance efficace du système est essentielle au succès. Tout au long de l'examen, le Comité a entendu une grande majorité d'intervenants affirmer que la gouvernance devrait être impartiale, transparente et représentative de toutes les parties dans un système bancaire ouvert.
Les intervenants sont également d'avis que le gouvernement et l'industrie ont des rôles à jouer et que la gouvernance devrait être adaptée à la nature du risque.
Le volet sur lequel les intervenants ont une opinion divergente concerne le mode de gouvernance devant être mis en place. Certains intervenants sont en faveur d'une législation globale visant à établir une organisation chargée de la mise en œuvre et d'imposer les règles de participation au système. D'autres soutiennent que le gouvernement devrait établir une orientation stratégique générale et laisser l'industrie établir des normes de pratique pour faire office de cadre régissant un système bancaire ouvert.
Lors de l'examen, le Comité a fait part d'une proposition consistant à établir un organisme indépendant du gouvernement afin de mettre en œuvre et de gérer le système bancaire ouvert avec les intervenants. Cet organisme rendrait compte au gouvernement, tout en disposant d'une indépendance suffisante pour inciter les acteurs du marché à travailler ensemble. On a également proposé un cadre législatif ou réglementaire pour le système bancaire ouvert, qui établirait les objectifs et les règles générales du système, en plus d'appuyer les résultats pour les consommateurs.
Lors des consultations avec les intervenants, il est devenu manifeste que la conception et la mise en œuvre d'une entité de gouvernance et d'un cadre législatif officiels pourraient prendre plusieurs années et ne pas être proportionnels aux risques d'un système bancaire ouvert dans sa phase initiale. La nomination d'une entité existante pour gérer la gouvernance présente également des défis, compte tenu des intérêts et des mandats divergents.
Pour cette raison, le Comité recommande une approche progressive vis-à-vis de la gouvernance d'un système bancaire ouvert, où un responsable nommé collaborerait avec le gouvernement et l'industrie à la conception et à la mise en œuvre d'une première phase du système. Pendant la conception et la mise en œuvre d'un système bancaire ouvert, le gouvernement peut travailler en parallèle à la mise sur pied d'une entité de gouvernance conçue expressément pour effectuer l'administration en continue du système. Le travail du responsable orientera le développement d'une entité de gouvernance, mais ces processus seront distincts pour permettre au responsable de se concentrer sur la mise en œuvre rapide du système bancaire ouvert.
Cette approche progressive constitue un moyen efficace et pratique de faire avancer le système bancaire ouvert au Canada – et elle fera en sorte que les avantages profitent aux Canadiens et à l'économie en temps opportun.
6.1 Phase 1 : Conception et mise en œuvre du système (18 premiers mois)
L'opérationnalisation d'un système bancaire ouvert d'ici janvier 2023 est un objectif à la fois ambitieux et réalisable. Pour ce faire, le gouvernement devra nommer un responsable chargé de faire avancer la conception et la mise en œuvre rapide d'un système bancaire ouvert. Le responsable pourrait venir de la fonction publique ou de l'externe, mais il devra comprendre les secteurs des finances et de la technologie et leurs acteurs et être reconnu comme un promoteur de l'innovation.
Trois piliers clés, explorés en détail plus loin dans le présent rapport, doivent être en place pour qu'un système bancaire ouvert commence officiellement ses activités au Canada :
- des règles communes aux participants de l'industrie dans le système bancaire ouvert, lesquelles visent à remplacer la nécessité de contrats bilatéraux et garantissent que les consommateurs sont protégés;
- un cadre et un processus d'accréditation permettant aux tiers fournisseurs de services de participer au système bancaire ouvert;
- des spécifications techniques qui rendent possible un transfert sécurisé et efficient des données et qui répondent aux objectifs stratégiques établis.
Le responsable devra assurer l'élaboration de règles communes et d'un cadre d'accréditation en consultation avec l'industrie, les organismes de réglementation gouvernementaux et les représentants des consommateurs. En ce qui concerne les spécifications techniques relatives au transfert de données, le Comité reconnaît que des travaux considérables sont en cours. Par conséquent, le responsable du système bancaire ouvert devrait faire appel à l'expertise technique pour collaborer avec l'industrie à l'élaboration de normes afin de s'assurer qu'elles respectent l'orientation énoncée dans le présent rapport. Pour atteindre cet objectif, il faudra peut-être ajouter une ressource technique spécialisée à l'équipe de mise en œuvre.
Le responsable devrait achever ce travail de conception du système dans les 9 mois suivant sa nomination. Le résultat serait un cadre de système bancaire ouvert qui pourrait guider la mise en œuvre rapide du système. Toutefois, le gouvernement devrait envisager une orientation officielle ou la codification de ce cadre par voie législative ou réglementaire si des progrès insuffisants sont réalisés.
Après la conception des éléments fondamentaux du système bancaire ouvert, il devrait y avoir une période d'environ 9 mois pendant laquelle les tiers fournisseurs de services pourraient demander une accréditation et les mécanismes de transfert de données pourront être mis à l'essai et peaufinés.
À la fin de cette étape, soit 18 mois après la nomination d'un responsable, les consommateurs devraient être en mesure d'accéder aux services du système bancaire ouvert dans la mesure décrite dans la section ci-dessus sur la portée.
Le Comité considère que les caractéristiques suivantes sont essentielles pour permettre au responsable d'accomplir le travail attendu :
- Pouvoirs suffisants : Le responsable du système bancaire ouvert doit recevoir les pouvoirs nécessaires pour solliciter l'industrie et livrer des solutions dans des sphères clés, notamment l'établissement de règles communes et du cadre d'accréditation.
- Reddition de comptes directe au gouvernement : Le responsable du système bancaire ouvert doit rendre des comptes directement au sous-ministre des Finances du Canada et donner des mises à jour régulières sur l'état d'avancement de ces travaux.
- Livrables clairs : Le responsable du système bancaire ouvert doit avoir des livrables clairs, dont ceux liés à l'élaboration de règles communes, du cadre d'accréditation et de normes techniques.
- Un échéancier fixe : Ces travaux devraient être exécutés dans un délai de 18 mois.
- Des ressources suffisantes : Le responsable du système bancaire ouvert doit disposer des ressources financières et humaines nécessaires pour le soutenir dans sa tâche, y compris des ressources internes et externes. Compte tenu de l'expérience acquise par d'autres juridictions, ces ressources devraient représenter un personnel dédié de 4 à 6 équivalents temps plein (ETP) et inclure un accès à une expertise et à des conseils externes. L'expertise technique sera particulièrement importante pour soutenir les progrès réalisés dans l'élaboration de normes techniques.
- Groupes de travail : Le responsable du système bancaire ouvert devrait être soutenu dans sa tâche par des groupes de travail de l'industrie composés d'une représentation équilibrée de banques, d'autres participants potentiels au système bancaire ouvert et de représentants des consommateurs.
Les représentants des consommateurs devront être sollicités lors de ces travaux. Le gouvernement devrait envisager de rémunérer ces représentants afin d'assurer une participation significative de leur part. Cela permettra de s'assurer que le système est axé sur les consommateurs et que les besoins et les points de vue des personnes financièrement marginalisées ou vulnérables sont intégrés à la conception du système.
6.2 Phase 2 : Administration en continue du système (au-delà de 18 mois)
À mesure que les travaux du responsable progresseront, le gouvernement devra s'efforcer d'établir une entité adaptée à l'objectif pour effectuer l'administration en continue du système. La gouvernance de cette entité devrait inclure une représentation équilibrée de banques, d'autres participants au système bancaire ouvert et de représentants des consommateurs. Le gouvernement devrait établir le mandat et les objectifs de l'organisme, mais déléguer la prise de décision et l'administration aux membres de l'organisme. La transition de la phase de mise en œuvre à un système entièrement opérationnel devrait être aussi fluide que possible pour éviter tout relâchement du dynamisme pendant cette période.
Le gouvernement devrait envisager la nécessité de codifier certaines parties du système bancaire ouvert par voie législative ou réglementaire, en particulier si la mise en œuvre était entravée ou en vue d'étendre la portée du système bancaire ouvert à de nouveaux produits ou de à de nouvelles fonctions.
Recommandations sur la gouvernance
- La gouvernance doit être impartiale, transparente et représentative de toutes les parties dans un système bancaire ouvert. La gouvernance du système bancaire ouvert va se dérouler en plusieurs étapes, en fonction des risques posés au système.
- Des règles communes, un cadre d'accréditation et des spécifications techniques constituent les éléments fondamentaux qu'il faudra faire avancer avant de pouvoir commencer à exploiter officiellement un système bancaire ouvert au Canada.
- Le gouvernement devra nommer un responsable chargé de convoquer les intervenants afin de faire avancer les éléments fondamentaux (neuf mois) et d'effectuer la mise en œuvre (neuf mois) d'un système bancaire ouvert.
Le mandat du responsable devra comporter les aspects suivants :- Pouvoirs suffisants : Le responsable du système bancaire ouvert devra recevoir les pouvoirs nécessaires pour solliciter l'industrie et livrer des solutions dans des sphères clés, notamment l'établissement de règles communes et d'un cadre d'accréditation.
- Reddition de comptes directe au gouvernement : Le responsable du système bancaire ouvert devra rendre des comptes directement au sous-ministre des Finances du Canada et donner des mises à jour régulières sur l'état d'avancement de ces travaux.
- Produits livrables clairs : Le responsable du système bancaire ouvert devra avoir des livrables clairs, dont certains liés aux règles communes, à un cadre d'accréditation et à l'élaboration de normes techniques.
- Un échéancier fixe : Ces travaux devront être exécutés dans un délai de 18 mois.
- Des ressources suffisantes : Le responsable du système bancaire ouvert devra disposer des ressources financières et humaines nécessaires pour le soutenir dans sa tâche, y compris des ressources internes et externes. Compte tenu de l'expérience acquise par d'autres juridictions, ces ressources devraient comprendre de 4 à 6 membres dédiés à temps plein et un accès à une expertise et à des conseils externes. L'expertise technique sera particulièrement importante pour soutenir les progrès réalisés dans l'élaboration de normes techniques.
- Groupes de travail : Le responsable du système bancaire ouvert devra être soutenu dans sa tâche par des groupes de travail de l'industrie composés d'une représentation équilibrée de banques, d'autres participants potentiels au système bancaire ouvert et de représentants des consommateurs.
- Le gouvernement devra veiller à ce que les représentants des consommateurs participent à ces travaux, notamment en envisageant de rémunérer ces représentants pour faciliter une participation significative.
- Le gouvernement devra mettre en place une entité de gouvernance officielle chargée d'assurer une administration en continue et une transition harmonieuse vers un système bancaire ouvert après que le responsable ait conclu son programme de travail.
- Le gouvernement devra songer à la nécessité de codifier officiellement certains éléments du système bancaire ouvert par voie législative ou réglementaire en vue de l'étendre à d'autres produits ou fonctions au fil du temps.
7. Règles communes
À l'heure actuelle, les efforts visant à assurer un partage plus sécurisé des données au sein des services financiers ont été entravés par la nécessité de conclure des ententes bilatérales entre les banques et les tiers fournisseurs de services. Exiger que chaque banque conclue un contrat avec chaque tiers fournisseur de services pour gérer les risques liés à ses obligations légales et réglementaires en ce qui concerne l'utilisation des données sur les consommateurs est inefficient et ne fournit pas de fondement orienté-client et transparent qui assurerait la prospérité d'un système bancaire ouvert, où les consommateurs pourraient transférer leurs données de façon transparente entre les entités de leur choix.
Des règles communes sont nécessaires afin de réduire la dépendance à l'égard des contrats bilatéraux et de permettre un partage sécurisé et efficace des données autorisé par les consommateurs entre les participants au système bancaire ouvert. Le principal objectif des règles communes est de protéger les consommateurs, entre autres contre les acteurs mal intentionnés qui pourraient chercher à accéder à leurs données. De plus, une expérience positive des consommateurs sera essentielle pour s'assurer que les Canadiens choisissent le système bancaire ouvert plutôt que des méthodes de transfert de données moins sécurisées. Pour y parvenir, les règles de conceptions doivent placer l'intérêt du consommateur au cœur des priorités du système, notamment via l'établissement de règles visant à régir les domaines de la responsabilité, de la protection de la vie privée et de la sécurité.
Les intervenants ont manifesté leur appui à des règles dans ces domaines, mais ils ont également émis une mise en garde contre la création de chevauchements ou de fragmentation réglementaires. Le Canada dispose de solides cadres de protection des consommateurs et des données qui s'appliquent généralement à toutes les entités commerciales. Des cadres financiers bien établis et des organismes de réglementation fédéraux et provinciaux supervisent bon nombre de produits et services financiers qui seraient offerts par l'entremise d'un système bancaire ouvert. Les banques sous réglementation fédérale sont également assujetties à des mesures de protection des consommateurs en vertu du Cadre de protection des consommateurs de produits et de services financiers, qui renforce et modernise leurs efforts de protection des consommateurs et renforce les pouvoirs de surveillance de l'Agence de la consommation en matière financière du Canada.
Certains intervenants affirment que des contrats bilatéraux sont nécessaires dans un système bancaire ouvert parce que les banques sont réglementées non seulement en ce qui concerne la façon dont elles font des affaires, mais aussi avec qui elles en font et comment elles impartissent leurs services. En vertu du cadre réglementaire prudentiel du Canada, les banques conservent la responsabilité ultime de toutes les activités imparties (par exemple, conformément à la Ligne directrice B-10 du Bureau du surintendant des institutions financières). Cela soulève des préoccupations à l'effet que les banques se retrouvent finalement à être responsables non seulement de la façon dont les données sont transmises, mais aussi de la façon dont le tiers fournisseur de services utilise ces données après leur partage.
Le gouvernement devrait examiner ces préoccupations et s'attaquer à tout obstacle législatif ou réglementaire au bon fonctionnement d'un système bancaire ouvert. Un système bancaire ouvert ne peut fonctionner efficacement si des contrats bilatéraux sont requis entre les parties et les banques ne devraient pas être tenues responsables de la manière dont les données des banques qui sont transférées à la demande des consommateurs, sont finalement utilisées par les tiers fournisseurs de services. Parallèlement, les tiers fournisseurs de services devraient être soumis à des normes élevées pour garantir la protection des données des consommateurs.
Les règles communes de participation à un système bancaire ouvert devraient garantir une norme cohérente et élevée de protection des consommateurs tout en évitant les chevauchements réglementaires quant à la manière dont les données sont utilisées.
7.1 Responsabilité
Pour s'assurer que les règles communes du système bancaire ouvert sont crédibles, les participants doivent être responsables de les faire respecter. La responsabilité est formalisée en déterminant qui est responsable de quoi et comment procéder à une indemnisation (recours) lorsque quelque chose ne va pas. L'attribution claire de la responsabilité est un élément essentiel de la vision qu'a le Comité d'un système bancaire ouvert qui favorise les résultats économiques et le bien-être des consommateurs. En effet, la responsabilité a fait l'objet d'un débat considérable entre les intervenants au cours de l'examen et elle est importante pour offrir une certitude aux participants du marché.
Pour le dire simplement, la responsabilité devrait suivre les données et incomber à la partie fautive. En outre, la priorité de la structure de responsabilité devrait être de garantir une protection et un recours efficaces aux consommateurs.
Afin de favoriser la confiance dans le système bancaire ouvert, les consommateurs doivent être en mesure d'utiliser le système en sachant qu'ils sont protégés et qu'ils seront indemnisés rapidement et pleinement si quelque chose ne va pas. Les règles doivent être claires, simples et exécutoires de sorte que les consommateurs, peu importe leur niveau de littératie financière et leur vulnérabilité aux cyber menaces, puissent clairement apprécier qu'ils sont protégés pendant qu'ils utilisent le système.
Si quelque chose n'allait pas, la structure de responsabilité devrait prévoir un processus clair pour déposer une plainte, recevoir un accès automatique à l'indemnisation en cas de perte financière et bénéficier d'une protection en continue lorsque la divulgation de données aurait rendu quelqu'un vulnérable à la fraude.
Le Canada pourrait tirer des leçons des nombreuses pratiques réussies qui ont permis de créer une structure de responsabilité efficace qui répond également aux besoins des participants et des consommateurs. Par exemple, la Directive sur les services de paiement de l'Union européenne limite la responsabilité d'un consommateur en cas de simples erreurs simples, tandis que le Consumer Data Right de l'Australie exige que les membres accrédités fassent partie d'un organisme externe de traitement des plaintes.
Le Cadre sur la protection des consommateurs de produits et services financiers du Canada renferme également de nombreuses pratiques exemplaires en matière de protection de la responsabilité, de traitement des plaintes et de recours qui peuvent être appliquées à un système bancaire ouvert. Par exemple, en vertu du Cadre, les consommateurs ne sont pas tenus responsables des transactions non autorisées sur leurs cartes de débit et de crédit, pourvu qu'ils aient pris des précautions raisonnables pour protéger leurs renseignements.
Les règles communes devraient prévoir un processus simplifié pour répondre aux plaintes des consommateurs et attribuer la responsabilité. Ces règles devront indiquer clairement comment un consommateur est protégé et à qui il peut s'adresser si quelque chose ne va pas. Les participants devront :
- avoir accès à un processus intégré de traitement des plaintes des consommateurs afin que toute erreur de transmission puisse être corrigée rapidement;
- être membre d'un mécanisme substitutif de résolution des différends ou d'un organisme externe de traitement des plaintes doté de pouvoirs exécutoires lorsqu'une plainte ne peut être réglée de façon indépendante;
- avoir mis en place des exigences en matière de journalisation des données, de sorte que toutes les requêtes faites aux interfaces de programmation d'applications (i.e. « Application Programming Interface »–« API ») soient enregistrés et puissent être vérifiés au besoin;
- limiter la responsabilité des consommateurs dans toutes les fonctions du système bancaire ouvert à un montant fixe de faible valeur (par exemple, 50 $), à moins de pouvoir prouver la négligence grossière ou l'acte criminel (comme la fraude).
Les règles communes devront établir des modalités de recours claires et automatiques pour les consommateurs. Cela procurera une certitude aux participants du marché, mais garantira également que les consommateurs recevront une indemnisation immédiate et adéquate en cas de perte. Si un consommateur subit une perte financière directe, un participant, qu'il s'agisse du tiers fournisseur de services ou de la banque, devra payer immédiatement le consommateur, puis collaborer avec la partie correspondante ou avoir recours au mécanisme substitutif de résolution des différends pour obtenir une indemnisation. Tous les participants devront se conformer à une norme de diligence relativement au traitement des données financières des consommateurs. Les participants devront veiller à ce que les consommateurs soient protégés contre la perte de données sensibles et qu'ils soient pleinement indemnisés et protégés contre les pertes futures. Cette protection devrait être conforme aux normes et pratiques exemplaires de l'industrie, ainsi qu'aux lois et directives fédérales et provinciales en matière de protection de la vie privée.
7.2 Protection de la vie privée
Afin d'établir un système bancaire ouvert qui s'appuie sur la confiance des consommateurs, il est essentiel d'aborder les questions liées à la protection de la vie privée. Le gouvernement a introduit la Loi sur la protection de la vie privée des consommateurs, une nouvelle loi sur la protection de la vie privée à l'intention du secteur privé.
Si elle est adoptée, cette loi renforcera la protection de la vie privée des Canadiens en permettant à ces derniers de bénéficier d'une transparence et d'un contrôle accrus lorsque des entreprises traitent leurs renseignements personnels. Une fois que les règlements habilitants seront en place, les consommateurs auront également le droit de demander que leurs renseignements personnels soient transférés d'une organisation à une autre, ce qui est un principe fondamental d'un système bancaire ouvert.
Avec ce projet de loi comme point de départ, un système bancaire ouvert devra clairement énoncer les exigences en matière de protection de la vie privée qui s'appliquent à tous les participants.
Par conséquent, les règles générales du système devront décrire le processus de gestion du consentement et les limites du consentement, les exigences en matière de gestion de la vie privée, la mobilité et la suppression des données et les exigences en matière de divulgation.
Le Comité a entendu des intervenants affirmer que ces règles doivent être centrées sur le consommateur. Compte tenu du temps et des efforts qui sont actuellement exigés des consommateurs pour se familiariser avec les ententes de modalités d'utilisation de services en ligne, il faudrait en faire davantage pour que ceux-ci s'estiment être efficacement informés et en contrôle de leur consentement. Pour ce faire, il faudrait utiliser un langage clair, simple et non trompeur et mettre en place des processus normalisés de consentement et un système robuste de gestion du consentement (par exemple, un tableau de bord de la gestion du consentement). Les mécanismes de plainte et de recours doivent être simples et accessibles pour le consommateur. Plus précisément, les consommateurs devront avoir la possibilité de prendre connaissance de ce qui suit :
- la liste complète des types de données dont le fournisseur de services financiers a besoin pour livrer son produit ou service;
- les raisons pour lesquelles ces types de données en particulier sont nécessaires et pendant combien de temps elles seront utilisées par le fournisseur de services tiers;
- les risques et les conséquences potentiels découlant du consentement au partage de ces données.
Les consommateurs devront également avoir une visibilité optimale quant aux données faisant partie de la portée d'un système bancaire ouvert, de leur usage et de la manière dont ces données pourront être transférées. Bien que le consentement exprès et le contrôle des données par les consommateurs soient essentiels, le défi consiste à déterminer le temps et l'attention que le consommateur est censé y accorder. Si le processus est trop lourd, il risque de devenir un autre exercice de clics répétitif comme tant d'autres ententes de modalités d'utilisation de services en ligne.
Les dispositions relatives à la divulgation énoncées dans le Cadre de protection des consommateurs de produits et de services financiers constituent une norme utile pour déterminer comment les participants pourront contribuer à sensibiliser efficacement les consommateurs. À tout le moins, les règles communes devront comprendre des exigences applicables aux participants à un système bancaire ouvert qui interdiront toute pression indue sur les consommateurs et qui veilleront à ce que l'information soit exacte, claire et non trompeuse. De plus, les participants devront divulguer publiquement les plaintes reçues des consommateurs, conformément au Cadre de protection des consommateurs de produits et de services financiers.
7.3 Sécurité
La communauté canadienne de la sécurité et du renseignement a souligné l'importance de la protection des données. Le Service canadien du renseignement de sécurité (SCRS) a évalué que des acteurs étatiques potentiellement hostiles tirent parti des technologies émergentes, comme la collecte de masse des données et l'analytique avancée, pour atteindre leurs objectifs stratégiques. Un système bancaire ouvert offre l'opportunité de s'assurer que tous les participants sont tenus de se conformer à de solides pratiques et normes de cybersécurité, afin de protéger les données financières des Canadiens.
Il faut établir des exigences de sécurité de base qui serviront de conditions préalables à l'entrée dans le système. D'autres exigences de sécurité pourraient alors être établies en fonction des niveaux de risque plus élevés qui pourraient se poser à mesure que le système bancaire ouvert évolue. Ces exigences pourraient se refléter dans un système d'accréditation à plusieurs niveaux, conçu avec la participation du gouvernement, des participants de l'industrie et du système, et des experts en cybersécurité. Cela réduirait la fragmentation tout en permettant que les règles et les normes de sécurité soient proportionnelles au niveau de risque et adaptées à une portée plus large.
Les éléments suivants devraient être pris en considération pour les règles de sécurité communes d'un système bancaire ouvert :
- Sécurité des données : l'authentification, l'autorisation, l'intégrité, la confidentialité, la disponibilité et la non répudiation, ainsi que les mesures de contrôles associées dont le chiffrement, la journalisation, etc.
- Risque opérationnel et systémique : l'infrastructure de sécurité de la technologie de l'information (TI), les normes techniques et de sécurité des interfaces de programmation d'applications (API), ainsi que la prévention, la surveillance et l'intervention en cas d'incident, les tests d'intrusion et les mesures de recouvrement.
La sécurité doit également être intégrée adéquatement aux fondements techniques d'un système bancaire ouvert – qu'il s'agisse de normes techniques, de spécifications ou d'API qui facilitent le partage sécurisé des données, ou de l'infrastructure du système lui-même. Alors que le Canada effectue des avancées technologiques pour améliorer la sécurité numérique, notamment la création d'une identité numérique, des synergies entre ce travail et la mise en œuvre d'un système bancaire ouvert pourraient être rencontrées.
Les consommateurs doivent être convaincus que le système est conçu de manière sécuritaire, en respectant les exigences de sécurité à tous les niveaux. Afin de s'assurer que tous les consommateurs se sentent confiants et en sécurité lorsqu'ils utilisent le système, des ressources qui favorisent une meilleure compréhension des cyberrisques et des bonnes pratiques de cyberhygiène devront être mises au point. Ces ressources permettront aux consommateurs de mieux connaître leurs droits et responsabilités.
7.4 Établir des règles communes
Le responsable du système bancaire ouvert devrait être habilité à solliciter les intervenants pour élaborer un ensemble commun de règles qui régiront les participants, protégeant ainsi les consommateurs et assurant l'équité au sein de l'écosystème. L'industrie, les représentants des consommateurs et le gouvernement devraient participer au processus d'élaboration des règlements afin d'harmoniser adéquatement les pratiques exemplaires de l'industrie, les intérêts des consommateurs et les exigences réglementaires.
Le processus d'élaboration de règles est essentiel au succès d'un système bancaire ouvert. Par conséquent, ce processus devra être guidé par les principes suivants.
- Inclure tous les groupes d'intervenants, y compris :
- une représentation équilibrée des participants de l'industrie pour s'assurer que les règles sont conçues de manière équilibrée et qu'elles reflètent les besoins des différentes entités;
- les principaux partenaires gouvernementaux, y compris les décideurs et les organismes de réglementation aux niveaux fédéral, provincial et territorial, pour garantir l'harmonisation du point de vue réglementaire;
- des groupes de consommateurs, des organismes caritatifs à vocation sociale ou un représentant désigné des consommateurs.
- Une participation du gouvernement, pour s'assurer que le processus s'harmonise avec la vision d'un système qui améliore le bien-être des consommateurs et la croissance économique, qui répond aux autres objectifs stratégiques du secteur financier et qui pourra s'adapter aux rapides évolutions technologiques et commerciales pour suivre le rythme des innovations futures du secteur des services financiers.
Recommandations sur les règles communes
- Établir des règles communes pour veiller au bon fonctionnement d'un système bancaire ouvert. L'objectif de ces règles sera de protéger les consommateurs et de garantir une expérience positive aux consommateurs.
- Le gouvernement devra s'attaquer aux obstacles législatifs ou réglementaires qui pourraient entraver l'opérationnalisation d'un système bancaire ouvert, en particulier en vue de résoudre les embûches qui nécessitent des contrats bilatéraux.
- Les règles communes devront garantir une norme cohérente et élevée de protection des consommateurs, tout en évitant les chevauchements réglementaires quant à la manière dont les données seront utilisées.
- Les règles communes devront préciser que la responsabilité suit les données et incombe à la partie fautive.
- Les règles relatives au traitement des plaintes et à l'attribution de la responsabilité devront être simples et efficaces pour les consommateurs. Chaque participant devra bénéficier de mécanismes internes et externes de traitement des plaintes, ainsi que rencontrer les exigences de journalisation des données. Dans toutes les fonctions d'un système bancaire ouvert, la responsabilité des consommateurs devra être limitée à un montant fixe de faible valeur (par exemple, 50 $), à moins de pouvoir prouver qu'il y a eu négligence grave ou acte criminel.
- Les règles communes devront prévoir des modalités de recours claires et automatiques pour les consommateurs. Ces modalités prévoiront une indemnisation immédiate pour toute perte financière et suivront les normes appropriées de protection et de recours en cas de perte de données financières sensibles.
- Des règles communes en matière de protection de la vie privée devront être élaborées pour les deux domaines suivants :
- Gestion du consentement : veiller à ce que les consommateurs sachent clairement qui détient leurs données, le contenu de ces données et l'usage qui est fait de leurs données; mettre en place un processus clair et normalisé permettant aux consommateurs de fournir et de révoquer le consentement au partage de leurs données; et tenir compte de la façon dont les consommateurs financièrement marginalisés ou vulnérables s'orienteront dans un système bancaire ouvert.
- Gestion de la vie privée : Intégrer aux activités des politiques, des pratiques et des procédures qui assurent la protection des renseignements personnels.
- Les règles communes devront interdire les pressions indues sur les consommateurs, veiller à ce que les renseignements fournis aux consommateurs soient exacts, clairs et non trompeurs, et exiger la divulgation publique des plaintes reçues des consommateurs.
- Des règles communes en matière de protection de la sécurité devront être élaborées pour les deux domaines suivants :
- Sécurité des données : l'authentification, l'autorisation, l'intégrité, la confidentialité, la disponibilité et la non répudiation, ainsi que les mesures de contrôles associées dont le chiffrement, la journalisation, etc.
- Risque opérationnel et systémique : l'infrastructure de sécurité de la technologie de l'information (TI), les normes techniques et de sécurité des interfaces de programmation d'applications (API), ainsi que la prévention, la surveillance et l'intervention en cas d'incident, les tests d'intrusion et les mesures de recouvrement
- Un seuil minimal de normes de sécurité devra être respecté par les tiers fournisseurs de services qui demandent l'accréditation, en imposant des normes de sécurité plus strictes en fonction du risque.
- Il faudra mettre au point des outils et des ressources pédagogiques pour que les consommateurs soient sensibilisés face à leurs droits et responsabilités.
- Les règles communes devront être élaborées d'une manière impartiale, cohérente, transparente et représentative, avec une surveillance gouvernementale suffisante pour assurer la protection des intérêts des consommateurs et la réalisation des objectifs de la politique publique.
8. Accréditation
Le Comité envisage un processus d'accréditation bancaire ouvert semblable aux standards d'attestation SOC (« Service Organization Control »), dont le rapport SOC 2 vise à émettre une opinion sur les contrôles internes et ainsi d'attester de la résilience d'une organisation, y compris dans les domaines de la protection de la vie privée et de la sécurité. Selon cette approche, des critères d'accréditation seront établis, des participants potentiels au système bancaire ouvert devront satisfaire aux exigences, et une entité indépendante devra en évaluer la conformité.
Les critères d'accréditation renforceront les règles communes en veillant à ce que les participants au système bancaire ouvert aient les compétences nécessaires pour se conformer aux règles. Par exemple, les critères d'accréditation devraient confirmer la capacité opérationnelle et financière des participants au système bancaire ouvert, y compris leur capacité à satisfaire aux exigences liées à la responsabilité, à la protection de la vie privée et à la sécurité. Il sera essentiel de détenir une assurance adéquate ou une garantie financière comparable pour assurer la responsabilisation des tiers fournisseurs de services accrédités et pour protéger les consommateurs.
Le défi crucial à l'établissement d'un cadre d'accréditation consiste à trouver le juste équilibre entre la promotion de l'entrée dans le système pour les petits participants, tout en assurant la sécurité et la protection de tous les participants. Un système bancaire ouvert ne procurera de valeur aux consommateurs et à l'économie que si les tiers fournisseurs de services sont en mesure d'y participer et de mettre au point de nouveaux services et produits. En même temps, la participation des consommateurs repose sur leur confiance envers le système, laquelle peut être perdue rapidement si quelque chose ne va pas.
Compte tenu de ce qui précède, le Comité recommande que les principes suivants guident l'élaboration d'un régime d'accréditation.
- Fiable : l'accréditation devrait servir de sceau d'approbation. Elle devrait permettre aux tiers fournisseurs de services de démontrer leur crédibilité en tant que participants au système bancaire ouvert, y compris d'une manière visible qui permettrait aux consommateurs de les identifier comme tels.
- Indépendant : le processus devrait être déterminé en consultation avec les participants au système, mais fonctionner de façon indépendante. Une majorité d'intervenants appuient le recours à un accréditeur indépendant.
- Proportionnel au risque : il faudrait veiller à ce que le processus d'accréditation reflète le niveau de risque qu'un tiers fournisseur de services pose pour le système. Une certaine marge de manœuvre et une approche par paliers devraient également être envisagées pour encourager l'entrée de nouvelles entreprises ou de nouveaux venus qui ne présentent pas les mêmes risques que d'autres entités.
- Les banques sous réglementation fédérale, compte tenu de leurs antécédents bien établis en tant que gardiens fiables des données financières et de leur réglementation prudentielle, n'auraient pas besoin d'être accréditées. Étant donné que les institutions financières sous réglementation provinciale, comme les coopératives de crédit, sont également chargées de détenir et de protéger les données des consommateurs, il faudrait également considérer, sous réserve de consultations avec les intervenants et les organismes de réglementation, de les exempter du processus d'accréditation.
- Transparent : le cas échéant, les renseignements sur le processus d'accréditation, y compris les critères, le processus et les participants accrédités, devraient être publiquement diffusés et accessibles aux consommateurs et aux autres participants du marché. Les candidats à l'accréditation devraient bien comprendre les critères requis, le processus de détermination du statut et les résultats de l'accréditation. Dans les cas où l'accréditation n'était pas accordée, les motifs de la décision devraient être communiqués aux demandeurs, qui devraient avoir la possibilité de corriger les lacunes sans avoir à redémarrer le processus d'accréditation. Enfin, un registre central qui identifierait toutes les parties accréditées devrait être mis à la disposition des consommateurs.
- Cohérent : un régime d'accréditation efficace devrait reconnaître la diversité de la surveillance existante et éviter le dédoublement ou les attentes contradictoires, étant donné que certains intervenants seront assujettis à des niveaux de surveillance réglementaire différents en fonction de la compétence (par exemple, fédérale et provinciale) et de l'activité ou de la fonction (par exemple, la protection prudentielle, des consommateurs, des investisseurs et de la vie privée).
Le responsable du système bancaire ouvert, en consultation avec les représentants de l'industrie, les organismes de réglementation et les représentants des consommateurs, devra élaborer les critères d'accréditation, ainsi qu'un processus permettant aux tiers fournisseurs de services de recevoir et de renouveler l'accréditation.
L'établissement des critères et du processus d'accréditation devrait représenter une priorité au cours des neuf prochains mois. Après l'établissement des critères, les participants devraient pouvoir commencer à demander l'accréditation.
Enfin, chaque tiers fournisseur de services devrait assumer le coût de sa propre accréditation, y compris les coûts associés aux différends connexes. Le renouvellement périodique de l'accréditation (par exemple, chaque année) devrait être requis, mais la fréquence devrait également être proportionnelle au risque. Des mises à jour et une évaluation continues du processus et des critères d'accréditation devraient être effectuées, avec l'apport du gouvernement et des participants au système bancaire ouvert.
Recommandations sur l'accréditation
- Les critères d'accréditation devront être suffisamment rigoureux pour protéger les consommateurs, mais pas au point d'exclure un large éventail d'acteurs du marché.
- Les critères devront être suffisants pour démontrer que le participant est en mesure de se conformer aux règles communes relatives à la responsabilité, à la protection de la vie privée et à la sécurité, y compris en offrant une capacité financière suffisante pour assurer la protection des consommateurs en cas de perte.
- Le processus d'accréditation devra être fiable, indépendant, proportionnel au risque, transparent et cohérent avec les autres régimes de réglementation. Les critères d'accréditation, ainsi que la liste des entreprises accréditées, devront être facilement accessibles aux consommateurs et aux autres acteurs du marché.
- Une accréditation sera requise pour permettre aux entités de participer au système bancaire ouvert, à l'exception des banques sous réglementation fédérale. Il faudra également envisager d'exempter les institutions financières sous réglementation provinciale, comme les coopératives de crédit, des exigences d'accréditation.
- Les entreprises qui cherchent à obtenir une accréditation devront assumer les coûts du processus d'accréditation, auprès d'une partie qui n'est pas membre du système bancaire ouvert, comme une entité indépendante dotée d'une capacité de vérification appropriée ou un organisme de réglementation gouvernemental qui entreprend le processus lui-même. Le cadre d'accréditation et l'accréditation de chaque entreprise devraient être examinés et mis à jour à intervalles réguliers.
9. Spécifications et normes techniques
Les spécifications techniques sont l'ensemble détaillé des instructions utilisées pour permettre la transmission et la réception sécurisées et efficientes de données financières entre les participants à un système bancaire ouvert.
Toutefois, les spécifications techniques peuvent aller au-delà du simple rôle de « canal » servant à déterminer la façon dont les données sont partagées, consultées, protégées ou révoquées par les participants au système. Les spécifications techniques peuvent également servir à définir l'expérience du consommateur et l'interface utilisateur. En effet, elles énoncent l'architecture par laquelle les consommateurs fournissent, gèrent ou révoquent leur consentement, s'authentifient ou autorisent des fonctions de partage de données.
Les intervenants avaient des opinions divergentes sur la façon d'aborder l'élaboration des spécifications techniques. Certains intervenants ont demandé une norme technique unique et commune qui permettrait de réduire la fragmentation entre les participants au système et d'assurer l'uniformité de l'expérience des consommateurs. D'autres intervenants ont dit craindre qu'une norme unique entrave l'innovation, la concurrence et la capacité de s'adapter aux progrès technologiques.
Les deux approches ont été utilisées dans d'autres pays : le Royaume-Uni et l'Australie ont adopté l'approche d'une norme unique, tandis que les États-Unis s'appuient principalement sur l'évolution du marché. Les deux approches présentent des avantages et des inconvénients.
Le fait de choisir dès le départ une norme unique ou des spécifications techniques uniques pourrait ne pas permettre aux participants au système de proposer plusieurs normes qui se font concurrence afin d'assurer une expérience, une efficience et une utilité optimales pour le consommateur. En revanche, encourager l'élaboration de normes multiples pourrait exacerber les pratiques inefficientes et la fragmentation existantes sur le marché, créant une expérience inégale pour les consommateurs ainsi que des mesures de sécurité incohérentes.
Il est nécessaire que la discussion sur les normes techniques aille au-delà de la dynamique concurrentielle associée à l'approche d'une norme unique ou à celle de normes multiples. Outre les éléments à prendre en considération liés à la concurrence et à l'innovation, l'élaboration de normes devrait tenir compte de la sécurité, de l'expérience des consommateurs, de la stabilité, de la sûreté et de la solidité du secteur financier. Celles-ci doivent également être fondées sur des normes internationales pour permettre la compatibilité et l'interopérabilité, et elles ne doivent être modifiées que dans la mesure nécessaire pour s'adapter au contexte canadien.
Compte tenu de ces objectifs stratégiques, les normes techniques relatives à un système bancaire ouvert au Canada devraient être guidées par les principes suivants :
- Assurer l'accessibilité et l'inclusion pour tous les participants aux systèmes accrédités, sans nécessiter d'ententes supplémentaires (comme les contrats bilatéraux);
- Favoriser une expérience positive pour les consommateurs, sans que ceux-ci n'aient à franchir d'étapes trop fastidieuses pour profiter des avantages d'un système bancaire ouvert;
- Permettre le transfert sécurisé et efficace des données entre les participants au système;
- Prévoir une capacité d'évolution au fil des changements technologiques afin de suivre le rythme du secteur en rapide évolution;
- Être suffisamment souple pour permettre la mise au point de nouveaux produits novateurs;
- Être compatible et interopérable avec les approches internationales.
Certains intervenants ont souligné la possibilité que certaines API permettent un transfert efficient des données. Par exemple, les API de poussée (« push API ») permettent des mises à jour en temps réel et basées sur les événements des dossiers des consommateurs que détiennent les tiers fournisseurs de services. Elles peuvent rendre possible un transfert de données plus efficient et moins coûteux par rapport aux fonctions dites du « tirer » (« pull ») ainsi qu'une expérience améliorée pour les consommateurs. Le Comité appuie l'élaboration de ces mécanismes de transfert de données ou d'autres mécanismes efficients de transfert de données.
Des efforts considérables sont en cours sur le marché canadien afin d'élaborer des normes et des spécifications techniques pour un système bancaire ouvert canadien. Le Comité y voit une occasion de tirer parti de ces efforts, en prévoyant toutefois des directives claires pour s'assurer que les objectifs et les principes de la politique publique ci-dessus sont atteints. Pour ce faire, le responsable devrait faire appel à des experts techniques pour travailler activement aux côtés de l'industrie et s'assurer que les normes sont élaborées conformément à ces principes et aux objectifs stratégiques.
Les experts techniques devraient collaborer avec l'industrie pour fournir des conseils, évaluer les progrès et résoudre les difficultés liées à l'élaboration des normes techniques. Si les travaux n'avancent pas ou qu'aucune solution adéquate ne se dégage, le responsable devra alors inciter le gouvernement à intervenir officiellement dans le processus, par exemple en imposant une approche d'élaboration de normes.
Recommandations sur les spécifications et les normes techniques
- Les efforts qui sont en cours sur le marché pour élaborer des spécifications techniques devront se poursuivre au cours des neuf prochains mois en vue de s'harmoniser avec les principes suivants.
- Assurer l'accessibilité et l'inclusion pour tous les participants aux systèmes accrédités, sans nécessiter d'ententes supplémentaires.
- Favoriser une expérience positive pour les consommateurs, sans que le consommateur ait à franchir d'étapes trop fastidieuses pour profiter des avantages d'un système bancaire ouvert.
- Permettre le transfert sécurisé et efficace des données entre les participants au système.
- Prévoir une capacité d'évolution au fil des changements technologiques afin de suivre le rythme du secteur en rapide évolution.
- Être suffisamment souples pour permettre la mise au point de nouveaux produits novateurs.
- Être compatibles et interopérables avec les approches internationales.
- Le responsable du système bancaire ouvert devra demander à des experts techniques de participer activement à l'élaboration des spécifications techniques afin de s'assurer que les objectifs de la politique publique sont atteints. Le gouvernement devrait intervenir dans le processus si aucune solution adéquate n'était trouvée.
10. Conclusion et prochaines étapes
Même si les travaux du Comité ont d'abord porté sur la question de savoir si le système bancaire ouvert procure une valeur suffisante aux Canadiens pour mériter la mise en œuvre d'un tel système, il est évident que les Canadiens ont déjà répondu à cette question.
Le système bancaire ouvert est déjà présent, mais fonctionne d'une manière qui expose les consommateurs et les institutions financières à des risques et menace la compétitivité continue du secteur des services financiers.
L'objectif principal est maintenant de réaliser le droit des consommateurs à la portabilité des données et de passer à un partage de données sécurisé et efficace, autorisé par les consommateurs, grâce à un système bancaire ouvert. Nous pouvons donner aux consommateurs et aux petites entreprises la capacité d'utiliser en toute sécurité leurs données financières pour mieux gérer leurs finances et améliorer leurs résultats financiers, positionner le secteur financier du Canada pour qu'il soit compétitif dans un monde axé sur les données et le numérique et appuyer nos efforts de reprise après la pandémie.
Le Comité recommande au gouvernement d'aller de l'avant rapidement pour mettre en œuvre un système bancaire ouvert hybride et canadien, fondé sur la collaboration, avec des rôles qui sont distincts, mais appropriés pour le gouvernement et l'industrie. Cela devrait se faire par étapes, avec une première phase comprenant la conception et la mise en œuvre du système bancaire ouvert à faible risque initial et une deuxième phase comprenant l'évolution et l'administration en continue du système.
Bien que la portée du système doive être suffisamment vaste pour permettre aux Canadiens d'avoir accès à une vaste gamme de services financiers utiles, compétitifs et conviviaux, la portée initiale devrait se limiter aux activités d'accès en lecture seule afin de permettre la mise en œuvre rapide du système.
Dans l'immédiat, le Comité recommande que le Gouvernement désigne un responsable du système bancaire ouvert qui sera chargé de rassembler l'industrie, le gouvernement et les consommateurs en vue de concevoir les fondements du système bancaire ouvert, lesquels devraient être finalisés dans les neuf mois suivant la nomination du responsable. Après une période d'essais et d'accréditation subséquente, le système devrait être opérationnel dans les 18 mois.
À la conclusion du mandat du responsable, il faudrait passer harmonieusement à une deuxième phase où serait mise en œuvre une entité de gouvernance officielle et adaptée aux objectifs, chargée d'assurer l'administration en continue du système. Une portée élargie englobant des fonctions à accès en écriture ainsi que de nouveaux types de données devrait être envisagée dans la deuxième phase.
Enfin, nous recommandons que le présent rapport soit rendu public. Les intervenants ont participé activement et de façon significative à cet examen et ont exprimé un vif désir de clarté et d'orientation sur la voie à suivre et l'échéancier à prévoir. Le gouvernement ne devrait pas tarder à leur communiquer ces renseignements. Nous recommandons également que le gouvernement annonce une date cible de janvier 2023 pour l'opérationnalisation d'un système bancaire ouvert.
11. Liste des recommandations
11.1 Recommandations sur la vision
- Six résultats clés pour les consommateurs devraient servir de fondement à un système bancaire ouvert au Canada :
- les données des consommateurs sont protégées;
- les consommateurs contrôlent leurs données;
- les consommateurs ont accès à un plus large éventail de services financiers utiles, concurrentiels et respectueux des consommateurs;
- les consommateurs ont un accès fiable et uniforme aux services;
- les consommateurs disposent d'un recours lorsque des problèmes surviennent;
- les consommateurs profitent de normes cohérentes en matière de protection des consommateurs et de conduite du marché.
- L'inclusion financière devra être prise en considération dans la conception d'un système bancaire ouvert et être complétée par des politiques, des programmes et des ressources d'éducation financière.
- La mise en place d'un système bancaire ouvert au Canada nécessite une approche hybride et canadienne – une approche qui tire parti des avantages des modèles mis en œuvre ailleurs par l'industrie et le gouvernement, mais qui reflète mieux le contexte canadien.
11.2 Recommandations sur la portée
- Les banques sous réglementation fédérale devront être tenues de participer à la portée initiale du système bancaire ouvert, et les institutions financières sous réglementation provinciale, comme les coopératives de crédit, devraient avoir la possibilité d'y participer volontairement. La participation d'autres entités devrait être permise après que celles-ci aient satisfait aux critères d'accréditation et suivi les règles du système bancaire ouvert.
- La portée initiale s'appliquera tant aux consommateurs qu'aux PME.
- La portée initiale devra tenir compte des données qui sont actuellement disponibles pour les Canadiens par l'entremise de leurs applications bancaires en ligne, y compris les comptes de chèques et d'épargne, les comptes de placement accessibles par l'entremise du portail bancaire en ligne du consommateur et les produits de prêt. La portée initiale des données partagées dans le système bancaire ouvert du Canada ne devrait pas se limiter à des cas d'utilisation précis.
- Les données fournies par les consommateurs, les données de solde, les données de transaction, les données sur les produits et les données accessibles au public devront faire partie de la portée initiale du système bancaire ouvert. Tous les participants de l'industrie auront le droit d'exclure les données dérivées et l'obligation de justifier toute exclusion.
- La portée initiale devrait se limiter aux fonctions à accès en lecture seule. Toutefois, le système devra être conçu de manière à permettre que la portée soit étendue à de nouveaux types de données et à des fonctions à accès en écriture une fois que le système sera établi et que les risques pourront être pleinement compris et pris en compte.
- Tous les participants au système bancaire ouvert devront être visés à parts égales par les demandes de transfert de données autorisées par les consommateurs. La réciprocité sera dictée par le consentement exprès du consommateur et les participants ne seront pas autorisés à exiger un accès réciproque aux données afin d'offrir un produit ou un service.
11.3 Recommandations sur la gouvernance
- La gouvernance doit être impartiale, transparente et représentative de toutes les parties dans un système bancaire ouvert. La gouvernance du système bancaire ouvert va se dérouler en plusieurs étapes, en fonction des risques posés au système.
- Des règles communes, un cadre d'accréditation et des spécifications techniques constituent les éléments fondamentaux qu'il faudra faire avancer avant de pouvoir commencer à exploiter officiellement un système bancaire ouvert au Canada.
- Le gouvernement devra nommer un responsable chargé de convoquer les intervenants afin de faire avancer les éléments fondamentaux (neuf mois) et d'effectuer la mise en œuvre (neuf mois) d'un système bancaire ouvert.
Le mandat du responsable devra comporter les aspects suivants.- Pouvoirs suffisants : Le responsable du système bancaire ouvert devra recevoir les pouvoirs nécessaires pour solliciter l'industrie et livrer des solutions dans des facettes clés, notamment l'établissement de règles communes et d'un cadre d'accréditation.
- Reddition de comptes directe au gouvernement : Le responsable du système bancaire ouvert devra rendre des comptes directement au sous-ministre des Finances du Canada et donner des mises à jour régulières sur l'état d'avancement de ces travaux.
- Produits livrables clairs : Le responsable du système bancaire ouvert devra avoir des produits livrables clairs, dont certains liés aux règles communes, à un cadre d'accréditation et à l'élaboration de normes techniques.
- Un échéancier fixe : Ces travaux devront être exécutés dans un délai de 18 mois.
- Des ressources suffisantes : Le responsable du système bancaire ouvert devra disposer des ressources financières et humaines nécessaires pour le soutenir dans sa tâche, y compris des ressources internes et externes. Compte tenu de l'expérience acquise dans d'autres administrations, ces ressources devraient comprendre de 4 à 6 membres du personnel à temps plein et un accès à une expertise et à des conseils externes. L'expertise technique sera particulièrement importante pour soutenir les progrès réalisés dans l'élaboration de normes techniques.
- Groupes de travail : Le responsable du système bancaire ouvert devra être soutenu dans sa tâche par des groupes de travail de l'industrie composés d'une représentation équilibrée des banques, d'autres participants potentiels au système bancaire ouvert et de représentants des consommateurs.
- Le gouvernement devra veiller à ce que les représentants des consommateurs participent à ces travaux, notamment en envisageant de rémunérer ces représentants pour faciliter une participation significative.
- Le gouvernement devra mettre en place une entité de gouvernance officielle chargée d'assurer une administration en continue et une transition harmonieuse vers un système bancaire ouvert après que le responsable ait conclu son programme de travail.
- Le gouvernement devrait songer à la nécessité de codifier officiellement certains éléments du système bancaire ouvert par voie législative ou réglementaire en vue de l'étendre à d'autres produits ou fonctions au fil du temps.
11.4 Recommandations sur les règles communes
- Établir des règles communes pour veiller au bon fonctionnement d'un système bancaire ouvert. L'objectif de ces règles sera de protéger les consommateurs et de garantir une expérience positive aux consommateurs.
- Le gouvernement devra s'attaquer aux obstacles législatifs ou réglementaires qui pourraient entraver l'opérationnalisation d'un système bancaire ouvert, en particulier en vue de résoudre les embûches qui nécessitent des contrats bilatéraux.
- Les règles communes devront garantir une norme cohérente et élevée de protection des consommateurs tout en évitant les chevauchements réglementaires quant à la manière dont les données seront utilisées.
- Les règles communes devront préciser que la responsabilité suit les données et incombe à la partie fautive.
- Les règles relatives au traitement des plaintes et à l'attribution de la responsabilité devront être simples et efficaces pour les consommateurs. Chaque participant devra bénéficier de mécanismes internes et externes de traitement des plaintes, ainsi que des protocoles de traçabilité des données. Dans toutes les fonctions d'un système bancaire ouvert, la responsabilité des consommateurs devra être limitée à un montant fixe de faible valeur (par exemple, 50 $), à moins de pouvoir prouver qu'il y a eu négligence grave ou acte criminel.
- Les règles communes devront prévoir des modalités de recours claires et automatiques pour les consommateurs. Ces modalités prévoiront une indemnisation immédiate pour toute perte financière et suivront les normes appropriées de protection et de recours en cas de perte de données financières sensibles.
- Des règles communes en matière de protection de la vie privée devront être élaborées pour les deux domaines suivants.
- Gestion du consentement : Veiller à ce que les consommateurs sachent clairement qui détient leurs données, le contenu de ces données et l'usage qui est fait de leurs données; mettre en place un processus clair et normalisé permettant aux consommateurs de fournir et de révoquer le consentement au partage de leurs données; et tenir compte de la façon dont les consommateurs financièrement marginalisés ou vulnérables s'orienteront dans un système bancaire ouvert.
- Gestion de la vie privée : Intégrer aux activités des politiques, des pratiques et des procédures qui assurent la protection des renseignements personnels.
- Les règles communes devront interdire les pressions indues sur les consommateurs, veiller à ce que les renseignements fournis aux consommateurs soient exacts, clairs et non trompeurs, et exiger la divulgation publique des plaintes reçues des consommateurs.
- Des règles communes en matière de protection de la sécurité devront être élaborées pour les deux domaines suivants.
- Sécurité des données : L'authentification, l'autorisation, la gestion de l'accès, le transit et le chiffrement des données, la création de jetons, la vérifiabilité et la traçabilité
- Risque opérationnel et systémique : l'infrastructure de sécurité de la technologie de l'information (TI), les normes techniques et de sécurité des interfaces de protocole d'application (API), ainsi que la prévention, la surveillance et l'intervention en cas d'incident, les tests de pénétration et les mesures de rétablissement
- Un seuil minimal de normes de sécurité devra être respecté par les entités qui demandent l'accréditation, en imposant des normes de sécurité plus strictes en fonction du risque.
- Il faudra mettre au point des outils et des ressources pédagogiques pour que les consommateurs soient sensibilisés face à leurs droits et responsabilités.
- Les règles communes devront être élaborées d'une manière impartiale, cohérente, transparente et représentative, avec une surveillance gouvernementale suffisante pour assurer la protection des intérêts des consommateurs et la réalisation des objectifs de la politique publique.
11.5 Recommandations sur l'accréditation
- Les critères d'accréditation devront être suffisamment rigoureux pour protéger les consommateurs, mais pas au point d'exclure un large éventail d'acteurs du marché.
- Les critères devront être suffisants pour démontrer que le participant est en mesure de se conformer aux règles communes relatives à la responsabilité, à la protection de la vie privée et à la sécurité, y compris en offrant une capacité financière suffisante pour assurer la protection des consommateurs en cas de perte.
- Le processus d'accréditation devra être fiable, indépendant, proportionnel au risque, transparent et cohérent avec les autres régimes de réglementation. Les critères d'accréditation, ainsi que la liste des entreprises accréditées, devront être facilement accessibles aux consommateurs et aux autres acteurs du marché.
- Une accréditation sera requise pour permettre aux entités de participer au système bancaire ouvert, à l'exception des banques sous réglementation fédérale. Il faudra également envisager d'exempter les institutions financières sous réglementation provinciale, comme les coopératives de crédit, des exigences d'accréditation.
- Les entreprises qui cherchent à obtenir une accréditation devront assumer les coûts du processus d'accréditation, auprès d'une partie qui n'est pas membre du système bancaire ouvert, comme une entité indépendante dotée d'une capacité de vérification appropriée ou un organisme de réglementation gouvernemental qui entreprend le processus lui-même. Le cadre d'accréditation et l'accréditation de chaque entreprise devraient être examinés et mis à jour à intervalles réguliers.
11.6 Recommandations sur les spécifications et les normes techniques
- Les efforts qui sont en cours sur le marché pour élaborer des spécifications techniques devront se poursuivre au cours des neuf prochains mois en vue de s'harmoniser avec les principes suivants.
- Assurer l'accessibilité et l'inclusion pour tous les participants aux systèmes accrédités, sans nécessiter d'ententes supplémentaires.
- Favoriser une expérience positive pour les consommateurs, sans que le consommateur ait à franchir d'étapes trop fastidieuses pour profiter des avantages d'un système bancaire ouvert.
- Permettre le transfert sécurisé et efficace des données entre les participants au système.
- Prévoir une capacité d'évolution au fil des changements technologiques afin de suivre le rythme du secteur en rapide évolution.
- Être suffisamment souple pour permettre la mise au point de nouveaux produits novateurs.
- Être compatible et interopérable avec les approches internationales.
- Le responsable du système bancaire ouvert devra demander à des experts techniques de participer activement à l'élaboration des spécifications techniques afin de s'assurer que les objectifs de la politique publique sont atteints. Le gouvernement devrait intervenir dans le processus si aucune solution adéquate n'était trouvée.
12. Glossaire
Interfaces de programmation d'applications (API) : Il s'agit d'une méthode sécuritaire et normalisée par laquelle les applications logicielles communiquent entre elles. Dans un système bancaire ouvert, l'API représente la méthode par laquelle les données financières sont transmises entre deux parties. Elle fait part de la demande de partage de données de l'utilisateur avec une partie (souvent son institution financière), puis communique ces renseignements de manière sécuritaire avec le tiers fournisseur de services de confiance de son choix.
Contrats bilatéraux : Dans le contexte d'un système bancaire ouvert, contrats entre une institution financière et un tiers fournisseur de services servant à gérer les risques liés aux obligations juridiques d'une banque en ce qui concerne l'utilisation des données de consommateurs. Un système bancaire ouvert vise à créer un environnement sécurisé, fondé sur des règles, qui élimine le besoin de contrats bilatéraux et permet aux consommateurs de transférer harmonieusement leurs données entre les entités de leur choix.
Données dérivées : Il s'agit de données brutes sur les consommateurs qui ont été recueillies et traitées à l'aide d'algorithmes et d'analyses propriétaires (par exemple, les évaluations internes du risque de crédit). Dans un système bancaire ouvert, les participants devraient avoir la capacité d'exclure les données dérivées des activités afférentes au système bancaire ouvert, en ayant toutefois l'obligation de justifier une telle exclusion.
Technologies financières : Il s'agit des technologies financières novatrices introduites par les institutions financières, les fournisseurs de services et les nouveaux venus dans le but de rendre le marché des services financiers plus efficient.
Système bancaire ouvert : Un système bancaire ouvert est un système qui permet aux consommateurs de transférer leurs données financières de façon sécurisée et efficiente entre institutions financières et tiers fournisseurs de services accrédités afin d'accéder à des services qui peuvent les aider à améliorer leurs résultats financiers.
Participants : Les participants à un système bancaire ouvert sont les banques sous réglementation fédérale, en tant que membres obligatoires; les institutions financières sous réglementation provinciale, sur une base volontaire; et les tiers fournisseurs de services accrédités.
Accès en lecture seule: Il s'agit de la capacité des tiers fournisseurs de services de recevoir des données financières des consommateurs, mais non de les modifier sur les serveurs des banques.
Grattage d'écran : Le grattage d'écran est un processus par lequel un consommateur communique ses noms d'utilisateur et mots de passe à un tiers pour accéder à des services financiers axés sur les données. Une telle pratique pourrait violer les conventions de service des clients avec leur institution financière et faire en sorte que ces derniers assument sans le savoir le risque de perte.
Tiers fournisseurs de services : Cette expression désigne les entités, à l'exception des institutions financières, qui ont été accréditées pour être en activité dans un système bancaire ouvert.
Accès en écriture : Il s'agit de la capacité des tiers fournisseurs de services de modifier les données financières des consommateurs sur les serveurs des banques (par exemple, amorcer un paiement et créer un compte).
Détails de la page
- Date de modification :