Énoncé Économique de l’automne 2023 :
Énoncé de politique sur les services bancaires pour les gens

1. Introduction

Les services bancaires pour les gens, ou système bancaire ouvert (open-banking), ou les finances axées sur les clients, font référence à une structure qui permet aux consommateurs et aux petites entreprises de transférer en toute sécurité leurs données financières aux fournisseurs de services approuvés de leur choix par l’intermédiaire d’une interface de programmation d’applications (API). Ils permettent aux consommateurs d’utiliser en toute sécurité des services financiers axés sur les données qui peuvent les aider à mieux gérer leurs finances et à améliorer leur situation financière. Par exemple, grâce aux services bancaires pour les gens, les particuliers peuvent accéder à des services qui leur permettent de renforcer leur cote de crédit en démontrant qu’ils ont payé leur loyer à temps.

Selon les estimations, 9 millions de Canadiens partagent actuellement leurs données financières en fournissant des informations d’identification confidentiels à des fournisseurs de services. Ce processus, connu sous le nom de « capture de données d’écran » (screen-scraping), n’est pas sécurisé et présente des risques en matière de sécurité, de responsabilité et de confidentialité pour les consommateurs et le système financier.

Les bénéfices des services bancaires pour les gens

1.1 À quoi serviront les services bancaires pour les gens?

Grâce à la mise en place d’un cadre sur les services bancaires pour les gens :

• Les Canadiens pourront, en toute sécurité, accéder à leurs données et les partager aux fournisseurs de services financiers.
• Les Canadiens ne seront pas assujettis à des frais lorsqu’ils souhaiteront accéder à leurs données et les partager.
• Les Canadiens et le système financier seront protégés contre les pratiques à risque, comme la capture de données d’écran.
• Les parties fautives assumeront la responsabilité des dommages ou des violations de données.
• Les Canadiens pourront accéder en toute sécurité à des produits et services novateurs qui peuvent les aider à améliorer leur situation financière. Voici quelques exemples :

  • Des applications permettront d’établir une cote de crédit à l’aide de données de transactions.
  • Des agrégateurs de comptes offriront un portrait financier complet et favoriseront une meilleure prise de décision.
  • Des outils de budgétisation permettront d’assurer un suivi des dépenses et fourniront des informations afin de favoriser le bien-être financier.
  • Des plateformes fourniront des conseils financiers automatisés, selon la situation financière et les besoins des consommateurs.

1.2 Objectifs de la politique du cadre pour les services bancaires pour les gens

De récents travaux du ministère des finances permettent de poursuivre trois objectifs en matière de politique publique :

• Sécurité et solidité : Assurer la sécurité et la solidité permanentes du secteur financier en prévenant les risques de sécurité découlant des pratiques de partage de données existantes, tels que la capture de données d’écran et en surveillant les activités liées au partage de données financières;
• Bien-être et protection financière des consommateurs : Veiller à ce que les Canadiens puissent exercer en toute sécurité et en toute confiance leur droit d’accès aux données, en utilisant leurs données financières pour améliorer leur situation financière; et,
• Croissance économique et compétitivité internationale : Établir un cadre cohérent, assorti d’une approche claire, équitable et transparente en matière d’accréditation, afin de favoriser la sécurité et la stabilité durables du secteur financier canadien, notamment des institutions financières existantes.

1.3 Éléments fondamentaux du cadre

Ces objectifs stratégiques ont inspiré l’élaboration d’un plan d’action recommandé pour les cinq éléments fondamentaux suivants du cadre :

• Gouvernance – Surveillance et gestion du système;
• Portée – Types de données et de fonctionnalités que le système proposera, participants et rythme auquel le système devrait se développer;
• Accréditation – Exigences et processus de participation au partage des données financières autorisé par les consommateurs;
• Règles communes – Protection des consommateurs et respect d’exigences en matière de protection de la vie privée, de sécurité et de responsabilité; et,
• Normes techniques – Établissement, maintien et contrôle du respect de normes techniques (également appelées « canaux ») qui facilitent la circulation des données entre les participants.

Le présent document expose la position du gouvernement sur les éléments fondamentaux du cadre, afin de permettre à l’industrie et aux consommateurs de mieux comprendre notre démarche.

2. Plan d’action

Le gouvernement élaborera et mettra en place un cadre législatif régissant les services bancaires pour les gens. Il leur permettra d’exercer en toute sécurité et en toute confiance leur droit à l’accès aux données et, par conséquent, d’avoir recours en toute sécurité à des services susceptibles de les aider à améliorer leur situation financière.

La loi-cadre qui sera présentée dans le budget de 2024, proposera une approche progressive pour la portée du système, la surveillance de la norme technique et l’échéancier lié à l’élimination progressive de la capture de données d’écran. Conformément aux meilleures pratiques internationales, elle permettra de :

• Codifier les aspects essentiels, notamment la portée, les règles communes en matière de responsabilité, de protection de la vie privée, de sécurité, d’accréditation et de gestion des normes techniques.
• Confier à une entité gouvernementale la responsabilité du contrôle et de la surveillance du système, de l’application des règles communes, de l’accréditation, de la définition et de la mise à jour des normes techniques.
• Définir la responsabilité des participants de l’industrie.

2.1 Gouvernance

Pour garantir aux Canadiens une surveillance efficace du partage des données financières, le cadre canadien des services bancaires pour les gens mandatera une entité gouvernementale chargée de superviser et d’appliquer le cadre. Pour faciliter la surveillance des entités provinciales, tout en respectant le partage des compétences, un modèle permettant aux entités provinciales d’adhérer ou non à la gouvernance, à la surveillance et de participer ou non sera mis en place.

La conception d’un cadre de gouvernance est essentielle pour s’assurer qu’il atteigne les objectifs en matière de politique publique, en l’occurrence la sécurité, la stabilité, l’innovation et l’utilité pour tous les Canadiens. Un cadre de gouvernance solide garantira que les participants respectent les règles communes en définissant clairement les rôles et les responsabilités des participants et des gouvernements, ainsi que les mesures à prendre en cas de non-respect des règles.

2.2 Portée

Afin d’assurer une mise en œuvre efficace du partage des données financières autorisé par les consommateurs en toute sécurité, le gouvernement adoptera une approche progressive des trois aspects dont il convient de tenir compte quant à la portée du système : les participants, l’étendue du partage des données et les fonctionnalités.

La portée se réfère:

• aux entités qui peuvent participer;
• à l’étendue des données qui doivent être partagées; et
• aux fonctionnalités telles que l’accès en lecture ou en écriture.

Au cours de la première phase, le gouvernement imposera la participation des institutions financières fédérales qui atteignent un certain seuil de volume de vente au détail, tout en permettant aux autres institutions financières fédérales, aux coopératives de crédit et aux tiers accrédités d’adhérer au cadre. Pour que le droit des consommateurs à la portabilité des données soit pleinement respecté, toutes les entités seront également soumises aux demandes de partage de données autorisé par les consommateurs (accès réciproque).

Lorsqu’elles sont autorisées par un consommateur, les données visées par la portée seront partagées gratuitement, dans leur format original non modifié. Le gouvernement pourrait envisager d’élargir la portée du système à une date ultérieure.

2.3 Accréditation

Pour que les Canadiens puissent partager en toute confiance des données financières avec des entités de confiance, le cadre canadien contiendra un cadre d’accréditation formel, prévoyant un processus, une surveillance et des critères pour les entités souhaitant collecter des données autorisées par les consommateurs auprès des détenteurs de données.

Le cadre d’accréditation formel est un élément central qui permet de s’assurer que seules les entités de confiance peuvent accéder aux données financières à la demande d’un consommateur. Ce cadre définit le processus et les critères spécifiques permettant aux demandeurs d’accéder aux données financières des consommateurs. Un organisme d’accréditation évalue ensuite les demandes en fonction de ces critères et publie une liste de toutes les parties accréditées dans un registre central.

Compte tenu de la nature hautement sensible des données financières, ce processus garantit que seules les parties qui satisfont à certaines exigences en matière de sécurité et de protection de la vie privée peuvent être intégrées dans un écosystème de partage de données. Il instaure un climat de confiance entre les consommateurs et les participants en validant le mérite et la capacité financière des organisations qui ne font pas partie des services financiers traditionnels réglementés à participer à une économie de partage de données dirigée par les consommateurs.

L’accréditation ne constituerait pas un droit. Les entités seronnt soumises à l’obligation de communiquer des renseignements clés régulièrement et au fur et à mesure de l’évolution de leur modèle d’entreprise, afin de conserver leur accréditation. Un registre public des entités accréditées serait tenu afin de garantir que les consommateurs disposent de renseignements clairs lorsqu’ils choisissent de partager leurs données financières avec une entité.

Des garanties de sécurité nationale alignées sur les cadres existants du secteur financier seraient également intégrées au processus d’accréditation.

2.4 Entités exemptées

Compte tenu de leur réputation bien établie de gardiens fiables des données financières et qu’elles sont assujetties à la réglementation prudentielle et à d’autres formes de réglementation, les banques et les coopératives de crédit sous réglementation fédérale, ainsi que les coopératives de crédit sous réglementation provinciale, seraient exemptées de l’obligation d’accréditation.

Dans le cas des coopératives de crédit provinciales, les provinces conservent le pouvoir d’imposer leurs propres exigences. Toutes les autres entités qui cherchent à recueillir ou à utiliser des données relevant de la portée définie afin de fournir des produits ou des services aux consommateurs, ainsi que les organisations qui recueillent des données en leur nom, devraient obtenir l’accréditation.

2.5 Accréditation par paliers

L’accréditation par paliers—la pratique consistant à l’établissement d’exigences d’accréditation différentes pour les entités, en fonction des niveaux de données auxquels elles sont autorisées à accéder—ne constituerait pas une exigence lors de la première phase, mais elle pourrait être envisagée une fois que le cadre serait bien établi.

2.6 Règles communes

Pour assurer la transparence du partage des données financières autorisé par les consommateurs au Canada et veiller à ce qu’il réponde à leurs besoins, le cadre comprenant des règles communes s’appliquera aux obligations en matière de protection de la vie privée, de sécurité et de responsabilité. Les entités accréditées et habilitées seront tenues de respecter ces règles pour pouvoir accéder aux données des consommateurs.

L’objectif des règles communes est de veiller à ce que les consommateurs profitent de normes cohérentes en matière de protection des consommateurs et de conduite du marché qui, à leur tour, contribueraient à renforcer la confiance des consommateurs. Pour renforcer la législation existante en matière de protection des consommateurs et de la vie privée, des règles supplémentaires régissant la responsabilité, la protection de la vie privée et la sécurité seront élaborées.

Le cas échéant, les règles communes s’aligneront sur les cadres législatifs existants, comme le régime de protection des consommateurs en matière financière (RPCF) intégré à la Loi sur les banques. Les règles communes compléteront la législation existante, sans pour autant engendrer des exigences redondantes ou potentiellement contradictoires.

2.7 Vie privée

En ce qui concerne la protection de la vie privée, les participants seront tenus de se conformer aux cadres législatifs existants. D’autres règles de protection de la vie privée seront également adoptées, pour le partage des données financières, notamment quant au consentement des consommateurs à l’accès aux données. Les participants devront mettre en place un processus normalisé de consentement et de révocation à la fois clair, simple et transparent.

En outre, les participants devront confirmer à nouveau le consentement des consommateurs à des intervalles déterminés ou à la suite de certains événements. Les entités seront également tenues de fournir des tableaux de bord du consentement afin que les consommateurs sachent en temps réel qui a accès à leurs données.

2.8 Responsabilité

Le cadre canadien définira clairement les paramètres de la responsabilité dans le cadre de la relation contractuelle prévue par la loi entre les participants. Ceux-ci seront basés sur le principe selon lequel les données entraînent une responsabilité et que celle-ci incombe à la partie fautive en cas de problème. Cela signifie que lorsqu’un consommateur décide d’un transfert de données, la responsabilité du fournisseur de données à l’égard de ce consommateur en ce qui concerne la gestion ou la protection des données cesse dès que les données quittent l’institution.

Pour que les règles communes soient crédibles, les participants doivent être tenus responsables de les respecter. La répartition claire des responsabilités constitue un élément essentiel du cadre des services bancaires aux consommateurs. Des règles définies à l’avance et transparentes précisant les contours de la responsabilité permettront aux participants d’être fixés et faciliteront la protection des consommateurs.

Pour garantir la protection des consommateurs, les entités seraient également tenues de mettre en place des politiques et des procédures internes pour le traitement des plaintes et l’octroi de voies de recours.

2.9 Sécurité

Pour que les entités accréditées et habilitées puissent protéger les données des consommateurs, le cadre canadien établira des exigences claires en matière de sécurité.

Bien qu’il existe un large éventail de risques, les principaux sont liés au risque opérationnel, à savoir la sécurité des renseignements et la cybersécurité. À cet égard, les institutions financières fédérales et les coopératives de crédit disposent de régimes de gestion des risques bien établis et font déjà l’objet d’une surveillance de la part des organismes de réglementation prudentielle. Les autres organisations qui souhaitent accéder aux données des consommateurs devraient démontrer qu’elles sont en mesure de protéger ces données et de satisfaire à des exigences de sécurité dans le cadre du processus d’accréditation, ainsi qu’à des obligations de reddition de comptes permanentes.

2.10 Norme technique unique

Conformément aux meilleures pratiques internationales, le gouvernement imposera l’utilisation d’une norme technique unique et définira dans la législation les principes régissant cette norme technique, ainsi que les modalités de sa surveillance.

Un cadre de partage des données financières autorisé par les consommateurs offre un moyen de réussir la transition entre la capture de données d’écran et une méthode plus sûre de partage des données financières qui réduit considérablement le risque de compromission des données personnelles par des acteurs malveillants et atténue les risques en matière de sécurité, de protection de la vie privée et de responsabilité pour les consommateurs et les institutions. Pour ce faire, une API, un type de logiciel qui agit comme un « canal » de données sécurisé, permet la communication entre les produits et services.

Des consultations avec les intervenants et un examen des meilleures pratiques internationales ont révélé une nette préférence pour une norme unique. Le gouvernement est sur le point de mettre un terme à ses échanges avec l’industrie et les partenaires internationaux et fera connaître à l’industrie la norme technique qu’il préconise.

3. Prochaines étapes

Le ministère des Finances fera avancer les travaux nécessaires à la mise en place d’un cadre canadien régissant des services bancaires pour les gens, dans le but d’adopter une loi et de mettre pleinement en place les cadres de gouvernance nécessaires d’ici 2025. Ce faisant, il continuera de collaborer avec l’industrie, les organismes de réglementation fédéraux, les gouvernements provinciaux et territoriaux et d’autres intervenants, notamment l’ensemble des Canadiens.

Cet énoncé de politique s’appuie sur une série de recommandations formulées par des experts, et d’autres territoires de compétence ont été consultés et les banques, les coopératives de crédit, les sociétés de technologie financière, les associations de consommateurs et les Canadiens de tout le pays ont été étroitement associés à la démarche. Vous trouverez de plus amples renseignements sur ce processus et les récents groupes de travail à la page Mise en œuvre du système des services bancaires pour les gens.