3e réunion du groupe de travail sur la responsabilité – Le 18 août 2022
Ce guide de discussion a pour but d’aider les membres du groupe de travail à se préparer à la troisième réunion du groupe de travail sur la responsabilité, la première de deux réunions consacrées à promouvoir la responsabilité publique dans le système bancaire ouvert.
Pour toute question ou tout commentaire, veuillez communiquer avec obbo@fin.gc.ca.
Sur cette page :
Guide de discussion
Cadres de traçabilité
Dans son rapport final, le Comité consultatif sur le système bancaire ouvert (le Comité) a recommandé aux participants de mettre « en place des exigences en matière de journalisation des données, de sorte que toutes les requêtes faites aux interfaces de programmation d’applications (i.e. “Application Programming Interface” – “API”) soient enregistrées et puissent être vérifiées au besoin ».
Cette recommandation découle des consultations menées en 2019 et 2020, dans le cadre desquelles les intervenants ont expliqué comment l’ubiquité et la reproductibilité des données compromettent la responsabilisation efficace et optimale.
Par exemple, les intervenants noteront qu’une requête d’API peut nécessiter plusieurs étapes pour communiquer, authentifier et transférer les données entre le fournisseur et le récepteur. Que se passe-t-il lorsque des données sont perdues pendant ce transfert? Comment les deux parties sont-elles tenues de protéger les données pendant leur transfert, et comment doivent-elles réagir pour adresser et résoudre tout problème éventuel? Diverses solutions ont été proposées, mais aucun consensus n’a été atteint.
Des questions ont également été soulevées quant à la manière de tracer les données une fois qu’elles sont collectées par un participant accrédité puis partagées avec une entreprise externalisée, un tiers ou un agent, dans le cadre du système bancaire ouvert. Notez que le groupe de travail sur l’accréditation examinera la transparence des relations entre ces entités et que sa discussion pourrait reposer sur les résultats de la réunion du groupe de travail sur la responsabilité. Notez aussi que les fournisseurs de données peuvent aussi être des destinataires de données et qu’ils peuvent également compter sur des tiers pour divulguer des données dans un système bancaire ouvert.
Dans le cadre de cette discussion, les cadres de traçabilité désignent tout moyen par lequel les participants à un système bancaire ouvert peuvent retracer et enregistrer les connexions et les incidents (par exemple, les requêtes d’API de poussée ou du tirer). L’enregistrement des requêtes d’API peut contribuer à l’élaboration de calendriers et à l’attribution des responsabilités en cas de violation.
Deux aspects des cadres de traçabilité sont à prendre en considération :
Aspect 1 : (Dé)centralisation des modèles de traçabilité
La centralisation ou la décentralisation de la traçabilité fait référence à l’approche utilisée pour suivre les demandes de données et les entreprises destinataires qui leur sont associées. Dans un modèle décentralisé, les destinataires et les fournisseurs individuels peuvent utiliser des solutions technologiques ou des pratiques d’enregistrement selon certaines normes. Par exemple, les requêtes d’API peuvent être consignées en interne par les participants au système bancaire ouvert, ou encore être enregistrées ou consignées par une ou plusieurs entités intermédiaires. Dans un modèle centralisé, un troisième niveau de responsabilité pour la résolution des litiges, la transparence de l’écosystème et la sécurité est assuré par une entité de gouvernance dans un système bancaire ouvert.
Aspect 2 : Clarifier les responsabilités interconnectées
Le Comité a recommandé que les règles communes « devront préciser que la responsabilité suit les données et incombe à la partie fautive ». Dans certains cas, les données peuvent être trop entremêlées entre le fournisseur et le destinataire, ou au sein de l’écosystème du destinataire, pour que les participants puissent déterminer les responsabilités de manière efficace ou suffisamment rapide pour permettre aux consommateurs de demander un recours. Dans ces cas, un système bancaire ouvert pourrait être utile, car il permettrait de définir le flux des responsabilités.
Par exemple, le Uniform Commercial Code des États-Unis indique que les émetteurs de virements électroniques assument une plus grande responsabilité que les destinataires. De même, la deuxième directive sur les services de paiement (DSP2) prévoit un mécanisme de recours automatique pour les consommateurs.
Discussion
- Quels sont les défis techniques liés à une approche centralisée et décentralisée? Comment peut-on les relever?
- Devrions-nous adopter une approche centralisée ou décentralisée pour un cadre de traçabilité destiné à la conception initiale du système bancaire ouvert, sachant que ce cadre pourrait changer après les tests?
- Quelles sont les obligations qui incombent aux destinataires des données (bancaires ou non) en matière de traçabilité des données après leur collecte (par exemple, par l’intermédiaire de tiers ou d’agents qui traitent les données)?
- Quelle est l’approche à adopter lorsque la responsabilité est trop imbriquée pour permettre un recours rapide et efficace?
Résultats
Cadres de traçabilité
Discussion 1
Quels sont les défis techniques liés à une approche centralisée et décentralisée? Comment peut-on les relever?
- Les participants ont souligné que le risque de concentration, la complexité technique et les exigences de gouvernance continues étaient des défis clés dans une approche centralisée. À l’inverse, la vérification de la conformité des participants aux exigences de traçabilité était le principal défi relevé dans un modèle décentralisé.
- Les participants ont également noté que les exigences d’accréditation, ainsi que les normes techniques qui comprennent des protocoles de traçabilité, peuvent répondre aux préoccupations associées à une approche décentralisée.
Discussion 2
Devrions-nous adopter une approche centralisée ou décentralisée pour un cadre de traçabilité destiné à la conception initiale du système bancaire ouvert, sachant que ce cadre pourrait changer après les tests?
- Un consensus a été atteint sur le fait qu’il faudrait adopter une approche décentralisée du cadre de traçabilité en raison de la simplicité de la mise en œuvre et des pratiques existantes de certains participants.
Discussion 3
Quelles sont les obligations qui incombent aux destinataires des données (bancaires ou non) en matière de traçabilité des données après leur collecte (par exemple, par l’intermédiaire de tiers ou d’agents qui traitent les données)?
- Un consensus a été atteint sur le fait que tous les bénéficiaires de données devraient avoir des obligations en matière de traçabilité des données lorsqu’ils facilitent les demandes de données des consommateurs. Les participants ont discuté, sans consensus, de l’adoption d’une approche fondée sur les principes ou une approche prescriptive à l’égard des obligations en matière de traçabilité des données.
- Si les destinataires de données externalisent n’importe laquelle de leurs activités commerciales à des fins de services bancaires ouverts, un consensus a été atteint sur le fait que les destinataires de données devraient continuer d’être responsables des données bancaires ouvertes qu’un tiers gère.
- Les participants ont également discuté de la nécessité que le cadre bancaire ouvert distingue les obligations de traçabilité des participants au marché tout au long de la chaîne d’une demande relative aux données sur les consommateurs.
- Il a également été proposé que les données enregistrées à des fins de traçabilité saisissent le consentement de l’utilisateur, les flux de données ainsi que les dates liées à une demande de partage de données.
Discussion 4
Quelle est l’approche à adopter lorsque la responsabilité est trop imbriquée pour permettre un recours rapide et efficace?
- Les participants n’ont pas jugé cette éventualité probable et ont préféré axer la discussion sur la responsabilité, à savoir une présomption de faute pour des documents inexacts ou incomplets. La normalisation des exigences en matière de tenue de dossiers a également été mentionnée comme un facteur atténuant de ce scénario.
Participants du groupe de travail sur la responsabilité
Membres
- Banque de Montréal
- Banque Nationale du Canada
- Banque Canadienne de l’Ouest
- Banque Canadienne Impériale de Commerce
- Neo Financial
- Meridian Credit Union
- Plaid
- Centre pour la défense de l’intérêt public
- Servus Credit Union
- Vancity Credit Union
- Wealthsimple
Absents
- Intuit
- Option consommateurs
- Portage Ventures
Invités externes
- Autorité des marchés financiers
- Bureau de la concurrence du Canada
- Agence de la consommation en matière financière du Canada
- Bureau du surintendant des institutions financières
Président
- Abraham Tachjian, responsable du système bancaire ouvert
Secrétariat
- Ministère des Finances Canada
Détails de la page
- Date de modification :