4e réunion du groupe de travail sur la protection de la vie privée – Le 22 septembre 2022
Le présent guide de discussion vise à aider les membres du groupe de travail à se préparer en vue de la quatrième réunion du groupe de travail sur la protection de la vie privée. L’ébauche structurelle fournie en annexe est destinée à servir uniquement de guide visuel pour la discussion sur le processus de consentement.
Pour toute question ou tout commentaire, veuillez communiquer avec OBBO@fin.gc.ca.
Sur cette page :
Guide de discussion
Normalisation du consentement
Le consentement sera placé au cœur du système bancaire ouvert; cela dit, la manière dont il sera accordé et affiché contribuera à la sensibilisation et à l’adoption. Les processus lourds et exigeants sont susceptibles d’ajouter des couches supplémentaires de complexité et de décourager les consommateurs de terminer leurs demandes et de tirer pleinement parti de leurs données financières. Un processus inefficace peut également diminuer le sentiment de contrôle des consommateurs sur leurs propres renseignements, les empêchant ainsi de prendre des décisions éclairées. Ces facteurs sont susceptibles d’entraîner une faible adoption par les consommateurs et d’être défavorables à la croissance du système.
Ce problème peut être résolu grâce à la normalisation. Le rapport du Comité consultatif sur le système bancaire ouvert a recommandé que, dans le cadre des règles communes, les consommateurs doivent compter sur un processus de normalisation précis pour l’octroi et la révocation du consentement. La création d’une familiarité visuelle dans ce parcours et dans les parcours étroitement liés vise à créer une approche commune et cohérente pour tous les participants de l’écosystème. En plus de contribuer à une expérience client positive, la normalisation peut améliorer la capacité du consommateur à comprendre comment ses données seront utilisées ainsi que la valeur des données qu’il communique.
Les expériences d’autres administrations viennent valider les avantages de la normalisation. L’Open Banking Implementation Entity (OBIE) du Royaume-Uni a mené des recherches qui démontrent que les consommateurs ont une probabilité élevée de ne pas achever un parcours lorsqu’ils doivent réaliser des étapes inutiles ou composer avec des écrans additionnels, notamment dans le cadre de transactions ou de demandes d’accès à faible risqueNote de bas de page 1. L’OBIE a élaboré des lignes directrices s’appliquant à l’expérience des consommateurs pour résoudre ces problèmesNote de bas de page 2. Dans le même ordre d’idées, le régime australien a reconnu l’importance de l’adoption par les consommateurs à titre de mesure de la réussite pour le Consumer Data Right (CDR). L’Australie a donc élaboré des lignes directrices sur l’expérience en guise de soutien, en se référant aux travaux menés par l’OBIENote de bas de page 3.
L’annexe du présent guide de discussion est un premier pas dans la même direction. L’ébauche structurelle propose une approche dans laquelle un consommateur accorde à un destinataire des données son consentement pour recueillir des renseignements, s’authentifie auprès du détenteur de données et autorise la communication des informations financières. L’objectif de cette réunion du groupe de travail sera d’aborder les étapes du parcours ainsi que les renseignements à fournir à chaque étape.
Il est à noter que les lignes directrices de l’OBIE et du CDR s’appuient sur des groupes de travail, des études de marché, des tests auprès des consommateurs et des analyses approfondies du parcours du client, notamment en fournissant plus de détails sur la manière dont les informations financières sont affichées et consolidées en « groupes ». À ce titre, l’ébauche structurelle s’appuie sur les travaux menés dans ces administrations et propose une première étape. Les parcours futurs pourront s’intégrer au système bancaire ouvert et contribuer à son développement et à son amélioration.
Discussion
- Outre le consentement, l’authentification et l’autorisation, existe-t-il un autre parcours du client qui mérite d’être normalisé? De même, existe-t-il d’autres formulations ou renseignements qui devraient être normalisés?
- L’ébauche structurelle de parcours proposée à l’annexe A est-elle appropriée et complète? Certaines étapes sont-elles manquantes ou inutiles? Veuillez noter que l’on propose que certaines étapes soient obligatoires (doivent) et d’autres facultatives (devraient).
- Quelle méthode d’authentification serait la mieux adaptée au parcours du client (par exemple, redirection d’application à application, notification poussée, sur le Web)?
- Les principes d’authentification répertoriés à l’étape 6 sont-ils suffisants ou d’autres principes sont-ils nécessaires?
- Est-ce que certaines étapes seraient substantiellement différentes si une PME cliente terminait le parcours?
- Certaines étapes seraient-elles substantiellement différentes si le processus était mené par une voie numérique autre que mobile (par exemple, un navigateur Web)?
Annexe A
Obtention du consentement
- Le destinataire des données doit demander au consommateur d’identifier son fournisseur de compte avant de demander son consentement.
- Le destinataire des données doit fournir suffisamment de renseignements pour permettre à un consommateur de prendre une décision éclairée, notamment en tenant compte des éléments fondamentaux d’un consentement valide abordés lors de la première réunion du groupe de travail sur la protection de la vie privée.
- Le destinataire des données doit fournir au consommateur une description des données demandées dans un langage clair, simple et non trompeur (par exemple, dans un menu déroulant, conformément au principe de minimisation des données abordé lors de la deuxième réunion du groupe de travail de protection de la vie privée).
- Le destinataire des données doit fournir la date à laquelle le consentement du consommateur devra être renouvelé conformément aux principes abordés lors de la première réunion du groupe de travail de protection de la vie privée.
Authentification
- Le destinataire des données devrait informer le consommateur qu’il sera redirigé vers son fournisseur de compte pour l’authentification du compte.
- Le fournisseur de données doit authentifier l’utilisateur conformément aux principes suivants :
- L’expérience d’authentification en cas de redirection depuis le destinataire des données devrait refléter celle des voies numériques du détenteur des données, en ce sens que le parcours du client ne devrait pas être plus onéreux ni prendre plus de temps que si le client accédait directement au détenteur des données;
- Le consommateur ne devrait s’authentifier qu’une seule fois pour accéder aux informations de son compte;
- Le détenteur des données ne devrait pas créer de retards ou d’obstacles inutiles dans le processus et devrait éviter tout ce qui pourrait décourager le client d’achever le processus.
Autorisation
- Le fournisseur de données devrait afficher le nom du destinataire des données à l’origine de la demande sur l’écran de réception et doit indiquer les types de comptes à partir desquels le consommateur peut accéder à ses données.
- Le fournisseur de données devrait afficher la durée du consentement accordé par le client ainsi que le nom du destinataire des données.
- Le fournisseur de données doit confirmer la demande de communication avec le consommateur sans solliciter un consentement supplémentaire.
- Le fournisseur de données devrait compter sur un écran de redirection sortante qui indique le statut de la demande et informe le consommateur qu’il sera automatiquement redirigé vers la page du destinataire des données.
Consentement aux informations
- Le destinataire des données devrait confirmer l’aboutissement de la demande.
- * Le tableau de bord de consentement sera abordé lors de la prochaine réunion du groupe de travail.
Résultats
Normalisation du consentement
Discussion 1
Outre le consentement, l’authentification et l’autorisation, existe-t-il un autre parcours du client qui mérite d’être normalisé? De même, existe-t-il d’autres formulations ou renseignements qui devraient être normalisés?
- De l’avis général, le consentement, l’authentification et l’autorisation sont les principaux candidats à la normalisation. De plus, les participants ont souligné l'importance d'un langage clair et facile à comprendre.
- Les participants ont souligné qu’il devrait y avoir une certaine souplesse dans les méthodes d’authentification, car de nombreuses organisations utilisent leur propre processus d’authentification des clients.
Discussion 2
L’ébauche structurelle de parcours proposée à l’annexe A est-elle appropriée et complète? Certaines étapes sont-elles manquantes ou inutiles? Veuillez noter que l’on propose que certaines étapes soient obligatoires (doivent) et d’autres facultatives (devraient).
- Les participants ont proposé différents changements potentiels au parcours, mais étaient généralement favorables aux étapes existantes. Ils ont souligné que certains cas, notamment les comptes joints, pouvaient soulever des considérations supplémentaires dans le cadre du parcours client.
- Il y avait consensus quant au besoin de transparence et de simplicité pour les consommateurs. De plus, certains intervenants ont fait état de préoccupations concernant la date d’expiration du consentement, car certains cas d’utilisation peuvent ne pas le justifier.
Discussion 3
Quelle méthode d’authentification serait la mieux adaptée au parcours du client (par exemple, redirection d’application à application, notification poussée, sur le Web)?
- Il y avait consensus sur le fait que les méthodes et procédures d’authentification existantes d’une entité seraient suffisantes dans un contexte de système bancaire ouvert.
Discussion 4
Les principes d’authentification répertoriés à l’étape 6 sont-ils suffisants ou d’autres principes sont-ils nécessaires?
- De l’avis général, les principes étaient généralement suffisants, bien que certains participants aient proposé de les rendre obligatoires plutôt que facultatifs.
Discussion 5
Est-ce que certaines étapes seraient substantiellement différentes si une PME cliente terminait le parcours?
- Les participants ont souligné que les PME présentaient des défis dans un contexte de système bancaire ouvert, car plus de temps et de réflexion sont nécessaires pour définir ce qui est inclus dans le régime. Des exemples de partage d’identifiants ou de façons d’assurer des droits d’accès appropriés pour différents utilisateurs ont été cités.
Discussion 6
Certaines étapes seraient-elles substantiellement différentes si le processus était mené par une voie numérique autre que mobile (par exemple, un navigateur Web)?
- Il y avait un consensus sur le fait qu’à l’exception des méthodes d’authentification spécifiques au canal, les étapes ne seraient pas matériellement différentes.
Participants du groupe de travail sur la protection de la vie privée
Membres
- Banque de Montréal
- Borrowell
- Financière Brim
- Coast Capital Savings
- Desjardins
- Banque des Premières Nations du Canada
- Interac
- Mogo
- Option consommateurs
- Prospera Credit Union
- Centre pour la défense de l’intérêt public
- Banque Royale du Canada
- Banque Scotia
Invités externes
- Agence de la consommation en matière financière du Canada
- Autorité ontarienne de réglementation des services financiers
- Bureau du surintendant des institutions financières
Président
- Abraham Tachjian, responsable du système bancaire ouvert
Secrétariat
- Ministère des Finances Canada
Détails de la page
- Date de modification :