3e réunion du groupe de travail sur la responsabilité – Le 18 août 2022

Ce guide de discussion a pour but d’aider les membres du groupe de travail à se préparer à la troisième réunion du groupe de travail sur la responsabilité, la première de deux réunions consacrées à promouvoir la responsabilité publique dans le système bancaire ouvert.

Pour toute question ou tout commentaire, veuillez communiquer avec obbo@fin.gc.ca.

Sur cette page :

Guide de discussion

Cadres de traçabilité

Dans son rapport final, le Comité consultatif sur le système bancaire ouvert (le Comité) a recommandé aux participants de mettre « en place des exigences en matière de journalisation des données, de sorte que toutes les requêtes faites aux interfaces de programmation d’applications (i.e. “Application Programming Interface” – “API”) soient enregistrées et puissent être vérifiées au besoin ».

Cette recommandation découle des consultations menées en 2019 et 2020, dans le cadre desquelles les intervenants ont expliqué comment l’ubiquité et la reproductibilité des données compromettent la responsabilisation efficace et optimale.

Par exemple, les intervenants noteront qu’une requête d’API peut nécessiter plusieurs étapes pour communiquer, authentifier et transférer les données entre le fournisseur et le récepteur. Que se passe-t-il lorsque des données sont perdues pendant ce transfert? Comment les deux parties sont-elles tenues de protéger les données pendant leur transfert, et comment doivent-elles réagir pour adresser et résoudre tout problème éventuel? Diverses solutions ont été proposées, mais aucun consensus n’a été atteint.

Des questions ont également été soulevées quant à la manière de tracer les données une fois qu’elles sont collectées par un participant accrédité puis partagées avec une entreprise externalisée, un tiers ou un agent, dans le cadre du système bancaire ouvert. Notez que le groupe de travail sur l’accréditation examinera la transparence des relations entre ces entités et que sa discussion pourrait reposer sur les résultats de la réunion du groupe de travail sur la responsabilité. Notez aussi que les fournisseurs de données peuvent aussi être des destinataires de données et qu’ils peuvent également compter sur des tiers pour divulguer des données dans un système bancaire ouvert.

Dans le cadre de cette discussion, les cadres de traçabilité désignent tout moyen par lequel les participants à un système bancaire ouvert peuvent retracer et enregistrer les connexions et les incidents (par exemple, les requêtes d’API de poussée ou du tirer). L’enregistrement des requêtes d’API peut contribuer à l’élaboration de calendriers et à l’attribution des responsabilités en cas de violation.

Deux aspects des cadres de traçabilité sont à prendre en considération :

Aspect 1 : (Dé)centralisation des modèles de traçabilité

La centralisation ou la décentralisation de la traçabilité fait référence à l’approche utilisée pour suivre les demandes de données et les entreprises destinataires qui leur sont associées. Dans un modèle décentralisé, les destinataires et les fournisseurs individuels peuvent utiliser des solutions technologiques ou des pratiques d’enregistrement selon certaines normes. Par exemple, les requêtes d’API peuvent être consignées en interne par les participants au système bancaire ouvert, ou encore être enregistrées ou consignées par une ou plusieurs entités intermédiaires. Dans un modèle centralisé, un troisième niveau de responsabilité pour la résolution des litiges, la transparence de l’écosystème et la sécurité est assuré par une entité de gouvernance dans un système bancaire ouvert.

Aspect 2 : Clarifier les responsabilités interconnectées

Le Comité a recommandé que les règles communes « devront préciser que la responsabilité suit les données et incombe à la partie fautive ». Dans certains cas, les données peuvent être trop entremêlées entre le fournisseur et le destinataire, ou au sein de l’écosystème du destinataire, pour que les participants puissent déterminer les responsabilités de manière efficace ou suffisamment rapide pour permettre aux consommateurs de demander un recours. Dans ces cas, un système bancaire ouvert pourrait être utile, car il permettrait de définir le flux des responsabilités.

Par exemple, le Uniform Commercial Code des États-Unis indique que les émetteurs de virements électroniques assument une plus grande responsabilité que les destinataires. De même, la deuxième directive sur les services de paiement (DSP2) prévoit un mécanisme de recours automatique pour les consommateurs.

Discussion

  1. Quels sont les défis techniques liés à une approche centralisée et décentralisée? Comment peut-on les relever?
  2. Devrions-nous adopter une approche centralisée ou décentralisée pour un cadre de traçabilité destiné à la conception initiale du système bancaire ouvert, sachant que ce cadre pourrait changer après les tests?
  3. Quelles sont les obligations qui incombent aux destinataires des données (bancaires ou non) en matière de traçabilité des données après leur collecte (par exemple, par l’intermédiaire de tiers ou d’agents qui traitent les données)?
  4. Quelle est l’approche à adopter lorsque la responsabilité est trop imbriquée pour permettre un recours rapide et efficace?

Résultats

Cadres de traçabilité

Discussion 1

Quels sont les défis techniques liés à une approche centralisée et décentralisée? Comment peut-on les relever?

Discussion 2

Devrions-nous adopter une approche centralisée ou décentralisée pour un cadre de traçabilité destiné à la conception initiale du système bancaire ouvert, sachant que ce cadre pourrait changer après les tests?

Discussion 3

Quelles sont les obligations qui incombent aux destinataires des données (bancaires ou non) en matière de traçabilité des données après leur collecte (par exemple, par l’intermédiaire de tiers ou d’agents qui traitent les données)?

Discussion 4

Quelle est l’approche à adopter lorsque la responsabilité est trop imbriquée pour permettre un recours rapide et efficace?

Participants du groupe de travail sur la responsabilité

Membres

  • Banque de Montréal
  • Banque Nationale du Canada
  • Banque Canadienne de l’Ouest
  • Banque Canadienne Impériale de Commerce
  • Neo Financial
  • Meridian Credit Union
  • Plaid
  • Centre pour la défense de l’intérêt public
  • Servus Credit Union
  • Vancity Credit Union
  • Wealthsimple

Absents

  • Intuit
  • Option consommateurs
  • Portage Ventures

Invités externes

  • Autorité des marchés financiers
  • Bureau de la concurrence du Canada
  • Agence de la consommation en matière financière du Canada
  • Bureau du surintendant des institutions financières

Président

  • Abraham Tachjian, responsable du système bancaire ouvert

Secrétariat

  • Ministère des Finances Canada

Détails de la page

Date de modification :