5e réunion du groupe de travail sur l'accréditation – Le 19 octobre 2022
Le présent guide de discussion est offert pour aider les membres du groupe de travail à se préparer à la réunion.
Veuillez noter que, durant la dernière réunion, le groupe de travail sur l'accréditation a accepté de donner suite au sujet de discussion prévu pour la 6e réunion (Organisations assujetties à l'accréditation) puisque le contenu prévu pour la 5e réunion (Sécurité et protection des renseignements personnels) est déjà examiné par d'autres groupes de travail consacrés au sujet.
Pour toute question ou commentaire, veuillez écrire à obbo@fin.gc.ca.
Sur cette page :
Guide de discussion
Organisations assujetties à l'accréditation
L'application proportionnelle des exigences est un thème récurrent qui revient dans de nombreuses discussions du groupe de travail. C'est un thème encore plus pertinent dans le contexte de l'accréditation. Comme l'indique le rapport final du Comité consultatif sur le système bancaire ouvert (le Rapport), le défi crucial de l'établissement d'un cadre d'accréditation consiste à trouver le juste équilibre entre la promotion de l'entrée des petits participants dans le système, tout en maintenant la sécurité et la protection pour tous. Par conséquent, on suggère dans le Rapport de faire en sorte que le processus d'accréditation reflète le degré de risque qu'un fournisseur de services tiers constitue pour le système. À cette fin, une certaine marge de manœuvre et des niveaux sous forme de paliers devraient également être envisagés pour encourager l'entrée de nouvelles entreprises ou de nouveaux venus qui ne constituent peut-être pas les mêmes risques que d'autres entités.
La présente réunion du groupe de travail servira à étudier les voies possibles qui permettraient d'entrer dans le système bancaire ouvert sans passer par l'accréditation, les différentes conditions d'admission au système, ainsi que les obligations et les responsabilités connexes.
Accréditation des détenteurs de données titulaires
Conformément au Rapport, nous nous attendons que les institutions financières sous réglementation fédérale et provinciale soient exemptées de l'accréditation dans la mesure où elles sont déjà soumises à une surveillance prudentielle et à d'autres formes de surveillance.
Les exigences en matière d'accréditation pour les détenteurs de données titulaires varient dans les autres administrations. Au Royaume-Uni (R.-U.), neuf institutions financières (CMA 9) sont assujetties à la participation obligatoire au système bancaire ouvert du pays, alors que les autres banques et sociétés de construction peuvent choisir d'y participer. Le Consumer Data Right (CDR) de l'Australie oblige toutes les institutions de dépôt autorisées à permettre le partage de données. Toutefois, les institutions de dépôt sont exemptées du processus d'accréditation completNote de bas de page 1, elles ont seulement à remplir un formulaire d'approbation « simplifié » dans lequel elles ont à préciser leur politique de gestion des données établie en vertu du CDR et à fournir des détails sur leur appartenance à l'organisme externe de règlement des différends du secteur bancaire. Les institutions de dépôt ne sont pas non plus obligées de détenir une assurance ou une autre forme de garantie comparableNote de bas de page 2.
Voies vers l'accès aux données autorisées par les consommateurs
Le R.-U. et l'Australie permettent tous deux aux entités qui cherchent à accéder aux données des consommateurs soit d'obtenir leur accréditation soit de conclure une entente avec une partie accréditée.
Le R.-U. est principalement intéressé de savoir si les services sont fournis à un utilisateur final. Par exemple, le R.-U. définit un « technical service provider » (TSP), comme une « entreprise qui obtient et qui traite les renseignements d'un compte de paiement à l'appui d'un fournisseur de services de renseignements sur les comptes autorisé ou enregistré, mais qui n'est pas lui‑même le fournisseur de ces renseignements à l'utilisateur »Note de bas de page 3. Les TSP n'ont pas besoin d'une accréditation, l'entité accréditée demeurant néanmoins la partie responsable de ses actionsNote de bas de page 4.
Les Account Information Service ProvidersNote de bas de page 5 (AISP), sont toutefois assujettis à l'accréditationNote de bas de page 6. Les avantages comprennent entre autres l'accès direct aux données des détenteurs de données comme les banques, ainsi que la prestation de services à leurs utilisateurs finaux. Toutefois, les parties non accréditées peuvent aussi fournir des services de renseignements sur les comptes en agissant à titre de « mandataire » de la partie accréditée, la « partie principale ». Le mandataire peut seulement présenter les services de renseignements sur les comptes de la partie principale à ses utilisateurs, sur ses propres plateformes (par exemple, applications ou sites Web). Il ne peut toutefois pas collecter de données auprès de la partie principale et les utiliser en vue de fournir de tels services à ses propres clients, c'est pourquoi le mandataire doit indiquer clairement qu'il agit simplement à titre de mandataire de la partie principale. Cela pourrait prendre la forme, par exemple, du recours à l'image de marque de la partie principale. La partie principale demeure responsable de toutes les activités de ses mandataires; elle doit enregistrer le nom du mandataire auprès de la Financial Conduct Authority et détenir une assurance qui reflète leur relation, entre autres exigences. Par ailleurs, la partie principale demeure responsable d'obtenir le consentement des consommateursNote de bas de page 7.
L'Australie offre deux options pour l'accréditationNote de bas de page 8. Une accréditation sans restriction permet à une entité d'accéder directement aux données autorisées par les consommateurs que détient un détenteur de données. Les entités dont l'accréditation est « parrainée » doivent s'acquitter d'exigences moins strictes à l'égard de la sécurité des renseignements, elles doivent notamment réaliser une auto-évaluation des exigences à remplir plutôt que d'avoir à en fournir la preuve par l'intermédiaire d'un rapport d'assurance réalisé par un tiers indépendant. La principale différence par rapport à l'accréditation sans restriction est qu'une entité parrainée, qui est décrite comme l'« affiliée » du parrain, ne peut pas demander directement les données à un détenteur de données. L'entité parrainée doit s'appuyer sur son parrain, avec qui elle doit avoir conclu une entente écrite visant la collecte de données en son nom, ou sur une autre personne accréditée qui n'est pas son parrain. Le parrain assume les responsabilités liées à cette entente, notamment exercer une diligence raisonnable à l'égard de son affiliée et la prestation d'aide en vue de respecter les règles du CDR.
L'Australie offre aussi un modèle fondé sur une relation de mandant à mandataire. Le « CDR Representative Model »Note de bas de page 9 permet aux entités qui ne veulent pas se soumettre à l'accréditation d'accéder aux données visées par le CDR par l'intermédiaire d'une unique partie principale pleinement accréditée. Dans ce modèle, la partie principale collecte les données visées par le CDR au nom du représentant, selon les modalités du contrat écrit. Notamment, la partie principale demeure complètement responsable des actions commises par le représentant CDR.
Enfin, le régime du CDR reconnaît le rôle joué par les « outsourced service providers »Note de bas de page 10 (OSP), dans la chaîne du partage de données. Ces entités facilitent la collecte de données visées par le CDR pour le compte d'une personne accréditée, la partie principale, ou bien elles leur fournissent des services en utilisant les données qui ont été collectées en leur nom. Ces entités n'ont pas besoin d'obtenir une accréditation, quoiqu'une entente de sous-traitance entre la partie principale et l'OSP doit être établie à l'aide du formulaire prescritNote de bas de page 11. L'entente prévoit, entre autres points, des restrictions sur ce que l'OSP peut faire des données. De plus, la partie principale demeure responsable des actions commises par l'OSP.
Discussion
- Exception faite des institutions financières sous réglementation fédérale et provinciales, quelles organisations devraient-être assujetties à l'accréditation?
- Quel type d'accréditation devrait être offert aux entités qui cherchent à intégrer le système bancaire ouvert?
- Quelles exigences en matière d'accréditation devraient varier selon les différents niveaux d'accréditation? Selon cette logique, quelles devraient être les différences au niveau des droits et des obligations (par exemple, accès aux données)?
- En plus des différents niveaux d'accréditation, y a-t-il des exigences législatives, réglementaires ou autres auxquelles les participants potentiels sont assujettis et qui pourraient être examinées aux fins d'accréditation en vue de rationaliser le processus de demande?
- Devrait-il y avoir plusieurs niveaux d'accréditation à la première étape du système bancaire ouvert? Autrement, faudrait-il intégrer progressivement ces niveaux? À quel moment, le cas échéant?
Résultats
Organisations assujetties à l’accréditation
Discussion 1
Exception faite des institutions financières sous réglementation fédérale et provinciale, quelles organisations devraient-être assujetties à l’accréditation?
- Le responsable a précisé que les termes « institutions financières sous réglementation provinciale » dans la question de discussion renvoyaient aux coopératives de crédit.
- Les participants ont proposé deux points de vue connexes, à savoir que les entités qui accèdent directement à l’interface de programmation d’application d’un détenteur de données ou qui recueillent des données autorisées par le consommateur devraient être assujetties à l’accréditation. Toutefois, certains participants ont averti que cette approche pourrait englober un groupe important d’entités participant à la chaîne de données qui ne font que fournir des services techniques aux participants au système, semblables à celles qui répondent aux définitions de « fournisseur de services techniques » et de « fournisseur de services externalisés » figurant dans le guide de discussion.
Discussion 2
Quel type d’accréditation devrait être offert aux entités qui cherchent à intégrer le système bancaire ouvert?
- Par souci de promouvoir l’accès au système et d’apprendre à partir des expériences d’autres administrations, la plupart des participants ont convenu d’options autres que l’accréditation complète, y compris les modèles de parrainage et d’agence décrits dans le guide de discussion.
Discussion 3
Quelles exigences en matière d’accréditation devraient varier selon les différents niveaux d’accréditation? Selon cette logique, quelles devraient être les différences au niveau des droits et des obligations (par exemple, accès aux données)?
- Selon le consensus, seules les entités entièrement accréditées devraient être en mesure d’accéder directement aux données d’un détenteur de données.
- Les participants ont également convenu que les entités entièrement accréditées qui fournissent un accès au système de type parrainage ou agence seraient assujetties à des exigences d’accréditation plus élevées en matière de gestion des risques et de capacité financière.
Discussion 4
En plus des différents niveaux d’accréditation, y a-t-il des exigences législatives, réglementaires ou autres auxquelles les participants potentiels sont assujettis et qui pourraient être examinées aux fins d’accréditation en vue de rationaliser le processus de demande?
- Les participants ont donné des exemples de régimes qui pourraient être pris en compte dans la simplification des demandes d’accréditation, y compris une entité réglementée par une administration provinciale à titre de maison de courtage de valeurs ou enregistrée à titre de fournisseur de services de paiement en vertu de la Loi sur les activités associées aux paiements de détail.
Discussion 5
Devrait-il y avoir plusieurs niveaux d’accréditation à la première étape du système bancaire ouvert? Autrement, faudrait-il intégrer progressivement ces niveaux? À quel moment, le cas échéant?
- Selon le consensus, plusieurs niveaux d’accréditation devraient être disponibles à la première étape du système bancaire ouvert.
Participants au groupe de travail sur l’accréditation
Membres
- Desjardins
- Flinks
- Banque Nationale du Canada
- Plaid
- Banque Scotia
- Stripe
- TD Canada Trust
- VanCity Credit Union
- Wealthsimple
- Central 1 Credit Union
Absent
- Banque Laurentienne du Canada
Invités externes
- British Columbia Financial Services Authority
- Bureau de la concurrence du Canada
- Agence de la consommation en matière financière du Canada
- Bureau du surintendant des institutions financières
Président
- Abraham Tachjian, responsable du système bancaire ouvert
Secrétariat
- Ministère des Finances Canada
Détails de la page
- Date de modification :