4e réunion du groupe de travail sur la protection de la vie privée – Le 22 septembre 2022

Le présent guide de discussion vise à aider les membres du groupe de travail à se préparer en vue de la quatrième réunion du groupe de travail sur la protection de la vie privée. L’ébauche structurelle fournie en annexe est destinée à servir uniquement de guide visuel pour la discussion sur le processus de consentement.

Pour toute question ou tout commentaire, veuillez communiquer avec OBBO@fin.gc.ca.

Sur cette page :

Guide de discussion

Normalisation du consentement

Le consentement sera placé au cœur du système bancaire ouvert; cela dit, la manière dont il sera accordé et affiché contribuera à la sensibilisation et à l’adoption. Les processus lourds et exigeants sont susceptibles d’ajouter des couches supplémentaires de complexité et de décourager les consommateurs de terminer leurs demandes et de tirer pleinement parti de leurs données financières. Un processus inefficace peut également diminuer le sentiment de contrôle des consommateurs sur leurs propres renseignements, les empêchant ainsi de prendre des décisions éclairées. Ces facteurs sont susceptibles d’entraîner une faible adoption par les consommateurs et d’être défavorables à la croissance du système.

Ce problème peut être résolu grâce à la normalisation. Le rapport du Comité consultatif sur le système bancaire ouvert a recommandé que, dans le cadre des règles communes, les consommateurs doivent compter sur un processus de normalisation précis pour l’octroi et la révocation du consentement. La création d’une familiarité visuelle dans ce parcours et dans les parcours étroitement liés vise à créer une approche commune et cohérente pour tous les participants de l’écosystème. En plus de contribuer à une expérience client positive, la normalisation peut améliorer la capacité du consommateur à comprendre comment ses données seront utilisées ainsi que la valeur des données qu’il communique.

Les expériences d’autres administrations viennent valider les avantages de la normalisation. L’Open Banking Implementation Entity (OBIE) du Royaume-Uni a mené des recherches qui démontrent que les consommateurs ont une probabilité élevée de ne pas achever un parcours lorsqu’ils doivent réaliser des étapes inutiles ou composer avec des écrans additionnels, notamment dans le cadre de transactions ou de demandes d’accès à faible risqueNote de bas de page 1. L’OBIE a élaboré des lignes directrices s’appliquant à l’expérience des consommateurs pour résoudre ces problèmesNote de bas de page 2. Dans le même ordre d’idées, le régime australien a reconnu l’importance de l’adoption par les consommateurs à titre de mesure de la réussite pour le Consumer Data Right (CDR). L’Australie a donc élaboré des lignes directrices sur l’expérience en guise de soutien, en se référant aux travaux menés par l’OBIENote de bas de page 3.

L’annexe du présent guide de discussion est un premier pas dans la même direction. L’ébauche structurelle propose une approche dans laquelle un consommateur accorde à un destinataire des données son consentement pour recueillir des renseignements, s’authentifie auprès du détenteur de données et autorise la communication des informations financières. L’objectif de cette réunion du groupe de travail sera d’aborder les étapes du parcours ainsi que les renseignements à fournir à chaque étape.

Il est à noter que les lignes directrices de l’OBIE et du CDR s’appuient sur des groupes de travail, des études de marché, des tests auprès des consommateurs et des analyses approfondies du parcours du client, notamment en fournissant plus de détails sur la manière dont les informations financières sont affichées et consolidées en « groupes ». À ce titre, l’ébauche structurelle s’appuie sur les travaux menés dans ces administrations et propose une première étape. Les parcours futurs pourront s’intégrer au système bancaire ouvert et contribuer à son développement et à son amélioration. 

Discussion

  1. Outre le consentement, l’authentification et l’autorisation, existe-t-il un autre parcours du client qui mérite d’être normalisé? De même, existe-t-il d’autres formulations ou renseignements qui devraient être normalisés?
  2. L’ébauche structurelle de parcours proposée à l’annexe A est-elle appropriée et complète? Certaines étapes sont-elles manquantes ou inutiles? Veuillez noter que l’on propose que certaines étapes soient obligatoires (doivent) et d’autres facultatives (devraient).
  3. Quelle méthode d’authentification serait la mieux adaptée au parcours du client (par exemple, redirection d’application à application, notification poussée, sur le Web)?
  4. Les principes d’authentification répertoriés à l’étape 6 sont-ils suffisants ou d’autres principes sont-ils nécessaires?
  5. Est-ce que certaines étapes seraient substantiellement différentes si une PME cliente terminait le parcours?
  6. Certaines étapes seraient-elles substantiellement différentes si le processus était mené par une voie numérique autre que mobile (par exemple, un navigateur Web)?

Annexe A

Ébauche structurelle du parcours client : obtention du consentement, authentification et autorisation
Quatre écrans mobiles illustrant un flux de processus pour la collecte du consentement, l'authentification et l'autorisation du partage de données dans le système bancaire ouvert.
Version texte

Ce graphique décrit l’ébauche structurelle du parcours de client pour le processus de consentement tout au long des phases d’obtention du consentement, d’authentification et d’autorisation.
On retrouve quatre représentations d’écrans d’appareil mobile, chacune représentant des étapes successives du parcours du consommateur. Elles sont décrites de gauche à droite.
(1) Le premier écran d’appareil mobile affiche une page de destinataire de données invitant le consommateur à sélectionner le fournisseur de compte auquel il souhaite donner accès, ainsi qu’une option d’annulation ou de confirmation.
(2) Le deuxième écran d’appareil mobile affiche une page de destinataire des données invitant le consommateur à connecter ses comptes et comprend des détails concernant les données qui doivent être communiquées pour accéder au service, ainsi qu’une option pour annuler ou confirmer.
Sous les deuxième et troisième écrans d’appareil mobile se trouvent deux petites cases indiquant les points intermittents du processus.
(a) Après le deuxième écran d’appareil mobile, le destinataire des données indique que le consommateur sera transféré vers son fournisseur de compte bancaire.
(b) Le fournisseur de données invite ensuite le client à s’authentifier pour octroyer un accès à ses données.
(3) Le troisième écran d’appareil mobile affiche la page du fournisseur de données invitant le consommateur à sélectionner le compte auquel il souhaite donner accès, un avis indiquant la date de fin de l’accès et une option d’annulation ou de confirmation.
Sous les troisième et quatrième écrans d’appareil mobile se trouve une petite case indiquant un point intermittent du processus.
(a) Après le troisième écran d’appareil mobile, le fournisseur de données indique que le consommateur sera transféré vers son destinataire de données.
(4) Le quatrième écran d’appareil mobile affiche une page de destinataire de données indiquant une confirmation claire que le processus est achevé et une invitation pour afficher le tableau de bord de consentement.

Obtention du consentement

  1. Le destinataire des données doit demander au consommateur d’identifier son fournisseur de compte avant de demander son consentement.
  2. Le destinataire des données doit fournir suffisamment de renseignements pour permettre à un consommateur de prendre une décision éclairée, notamment en tenant compte des éléments fondamentaux d’un consentement valide abordés lors de la première réunion du groupe de travail sur la protection de la vie privée.
  3. Le destinataire des données doit fournir au consommateur une description des données demandées dans un langage clair, simple et non trompeur (par exemple, dans un menu déroulant, conformément au principe de minimisation des données abordé lors de la deuxième réunion du groupe de travail de protection de la vie privée).
  4. Le destinataire des données doit fournir la date à laquelle le consentement du consommateur devra être renouvelé conformément aux principes abordés lors de la première réunion du groupe de travail de protection de la vie privée.

Authentification

  1. Le destinataire des données devrait informer le consommateur qu’il sera redirigé vers son fournisseur de compte pour l’authentification du compte.
  2. Le fournisseur de données doit authentifier l’utilisateur conformément aux principes suivants :
    1. L’expérience d’authentification en cas de redirection depuis le destinataire des données devrait refléter celle des voies numériques du détenteur des données, en ce sens que le parcours du client ne devrait pas être plus onéreux ni prendre plus de temps que si le client accédait directement au détenteur des données;
    2. Le consommateur ne devrait s’authentifier qu’une seule fois pour accéder aux informations de son compte;
    3. Le détenteur des données ne devrait pas créer de retards ou d’obstacles inutiles dans le processus et devrait éviter tout ce qui pourrait décourager le client d’achever le processus.

Autorisation

  1. Le fournisseur de données devrait afficher le nom du destinataire des données à l’origine de la demande sur l’écran de réception et doit indiquer les types de comptes à partir desquels le consommateur peut accéder à ses données.
  2. Le fournisseur de données devrait afficher la durée du consentement accordé par le client ainsi que le nom du destinataire des données.
  3. Le fournisseur de données doit confirmer la demande de communication avec le consommateur sans solliciter un consentement supplémentaire.
  4. Le fournisseur de données devrait compter sur un écran de redirection sortante qui indique le statut de la demande et informe le consommateur qu’il sera automatiquement redirigé vers la page du destinataire des données.

Consentement aux informations

  1. Le destinataire des données devrait confirmer l’aboutissement de la demande.
  2. * Le tableau de bord de consentement sera abordé lors de la prochaine réunion du groupe de travail.

Résultats

Normalisation du consentement

Discussion 1

Outre le consentement, l’authentification et l’autorisation, existe-t-il un autre parcours du client qui mérite d’être normalisé? De même, existe-t-il d’autres formulations ou renseignements qui devraient être normalisés?

Discussion 2

L’ébauche structurelle de parcours proposée à l’annexe A est-elle appropriée et complète? Certaines étapes sont-elles manquantes ou inutiles? Veuillez noter que l’on propose que certaines étapes soient obligatoires (doivent) et d’autres facultatives (devraient).

Discussion 3

Quelle méthode d’authentification serait la mieux adaptée au parcours du client (par exemple, redirection d’application à application, notification poussée, sur le Web)?

Discussion 4

Les principes d’authentification répertoriés à l’étape 6 sont-ils suffisants ou d’autres principes sont-ils nécessaires?

Discussion 5

Est-ce que certaines étapes seraient substantiellement différentes si une PME cliente terminait le parcours?

Discussion 6

Certaines étapes seraient-elles substantiellement différentes si le processus était mené par une voie numérique autre que mobile (par exemple, un navigateur Web)?

Participants du groupe de travail sur la protection de la vie privée

Membres

  • Banque de Montréal
  • Borrowell
  • Financière Brim
  • Coast Capital Savings
  • Desjardins
  • Banque des Premières Nations du Canada
  • Interac
  • Mogo
  • Option consommateurs
  • Prospera Credit Union
  • Centre pour la défense de l’intérêt public
  • Banque Royale du Canada
  • Banque Scotia

Invités externes

  • Agence de la consommation en matière financière du Canada
  • Autorité ontarienne de réglementation des services financiers
  • Bureau du surintendant des institutions financières

Président

  • Abraham Tachjian, responsable du système bancaire ouvert

Secrétariat

  • Ministère des Finances Canada

Détails de la page

Date de modification :