4e réunion du groupe de travail sur l’accréditation – Le 20 septembre 2022
Le présent guide de discussion vise à aider les membres du groupe de travail à se préparer en vue de la quatrième réunion du groupe de travail sur l’accréditation.
Pour toute question ou tout commentaire, veuillez communiquer avec OBBO@fin.gc.ca.
Sur cette page :
Guide de discussion
Certification
Il est important de faire la distinction entre l’accréditation et la certification. L’accréditation décrit les exigences fondamentales que certaines organisations doivent respecter pour participer à un système bancaire ouvert. La certification, quant à elle, est le processus par lequel la conformité à certaines exigences techniques est testée et attestée. Il peut s’agir de lignes directrices relatives à l’expérience client, de lignes directrices opérationnelles, d’exigences fonctionnelles liées à une interface API et, surtout, de la conformité aux éléments de sécurité d’une norme technique.
La certification peut être entreprise sous différentes formes. Dans le cadre d’un modèle d’autocertification, les participants au système évaluent et déclarent leur conformité en fonction d’une suite de scénarios de test définis. Alternativement, la conformité d’un participant peut également être validée par une entité de gouvernance ou par un tiers indépendant.
Dans les deux cas, la certification offre des avantages. Pour les participants au système, elle offre l’assurance que le déploiement de leur service est conforme à la suite de tests et aux exigences clés d’un système bancaire ouvert. Cela accroîtra ensuite le rendement global du système en améliorant notamment la sécurité, la fiabilité et la disponibilité de ces services, en réduisant le volume de plaintes parmi les participants au système et en décelant les défauts plus tôt dans le cycle de vie de la mise au point. Ensemble, ces avantages contribuent à rehausser le caractère positif de l’expérience client.
Les expériences d’autres administrations peuvent constituer des références utiles. L’Open Banking Implementation Entity (OBIE) du Royaume-Uni appuie les fournisseurs de services tiers à l’aide d’outils pour s’assurer que leurs services sont correctement testés avant la diffusion publiqueNote de bas de page 1. Le Conformance Certification Service fournit une suite de testsNote de bas de page 2 pour vérifier que la norme de l’OBIE a été correctement implantée. Les fournisseurs de services attestent eux-mêmes leur conformité, qui est ensuite validée par l’OBIE. Un élément clé de cette procédure est la conformité du profil de sécurité dans le cadre de laquelle l’Open ID Foundation (OIDF) vérifie le respect de la norme Financial-grade API (FAPI). La conformité est obligatoire pour les neuf plus grandes banques du Royaume-Uni, communément appelées « CMA9 ».
De même, l’Australian Competition and Consumer Commission (ACCC) gère une suite de tests de conformité pour les participants à l’écosystème Consumer Data Right (CDR). Le test varie en fonction du fait que l’entité est une détentrice de donnéesNote de bas de page 3 ou une destinataire de donnéesNote de bas de page 4, mais demeure une condition d’inscription au registre de CDR. Il est également important de noter que contrairement au modèle britannique, l’ACCC n’exige pas la certification FAPI par l’intermédiaire de l’OIDFNote de bas de page 5.
Discussion
- Quels tests devraient faire partie du processus de certification? Vous pouvez consulter les liens pour le Conformance Certification Service de l’OBIE ainsi que le test de conformité de l’ACCC qui correspondent aux notes de bas de page 2, 3 et 4.
- La certification devrait-elle être une exigence pour tous les participants de l’écosystème?
- Le processus de certification doit-il varier en fonction du type de participant (par exemple, banque, intermédiaire, technologie financière)?
- Quels sont les avantages et les inconvénients de l’autocertification par rapport à une entité de gouvernance ou à une certification menée par un tiers?
- À quelle fréquence la certification doit-elle être effectuée? S’agit-il d’un exercice ponctuel ou le processus doit-il être actualisé occasionnellement? Si tel est le cas, quelles circonstances déclencheraient un nouveau test de certification?
Résultats
Certification
Discussion 1
Quels tests devraient faire partie du processus de certification? Vous pouvez consulter les liens pour le Conformance Certification Service de l’Open Banking Implementation Entity (OBIE) ainsi que le test de conformité de l’ Australian Competition and Consumer Commission (ACCC) qui correspondent aux notes de bas de page 2, 3 et 4.
- Il y avait consensus sur le fait que les normes techniques, la sécurité, la portée et les flux de consentement et de révocation devraient faire partie du processus de certification.
Discussion 2
La certification devrait-elle être une exigence pour tous les participants de l’écosystème?
- Il y avait consensus sur le fait que tous les participants à l’écosystème (y compris les institutions financières qui ne sont pas assujetties à l’accréditation) devraient exiger une certification.
Discussion 3
Le processus de certification doit-il varier en fonction du type de participant (par exemple, banque, intermédiaire, technologie financière)?
- La plupart des participants étaient d’avis que les tests de certification devraient s’appliquer uniformément dans un souci de simplicité, de cohérence et de maintien de règles équitables.
- D’autres ont souligné que le processus de certification devrait varier en fonction du rôle des participants dans l’écosystème, de leur taille, de leur nature (fournisseurs de données ou destinataires de données) et du type de services fournis.
Discussion 4
Quels sont les avantages et les inconvénients de l’autocertification par rapport à une entité de gouvernance ou à une certification menée par un tiers?
- Bien que la rapidité de l’autocertification ait été évoquée, il y avait consensus sur le fait qu’une solution intermédiaire était préférable, une partie indépendante devant attester de la conformité.
Discussion 5
À quelle fréquence la certification doit-elle être effectuée? S’agit-il d’un exercice ponctuel ou le processus doit-il être actualisé occasionnellement? Si tel est le cas, quelles circonstances déclencheraient un nouveau test de certification?
- Il y avait consensus sur le fait que la certification devrait être occasionnellement renouvelée.
- Les raisons fournies comprenaient un changement de modèle opérationnel, la révocation de l’accréditation, des changements de la pile technologique d’un participant et l’écoulement d’une période donnée, comme deux ou trois ans.
Participants au groupe de travail sur l’accréditation
Membres
- Central 1 Credit Union
- Desjardins
- Flinks
- Banque Nationale du Canada
- Plaid
- Banque Scotia
- Stripe
- TD Canada Trust
- Vancity Credit Union
- Wealthsimple
Absent
- Banque Laurentienne du Canada
Invités externes
- British Columbia Financial Services Authority
- Bureau de la concurrence du Canada
- Agence de la consommation en matière financière du Canada
- Bureau du surintendant des institutions financières
Président
- Abraham Tachjian, responsable du système bancaire ouvert
Secrétariat
- Ministère des Finances Canada
Détails de la page
- Date de modification :