Appel à l’action pour un système bancaire ouvert

Appel à l’action pour un système bancaire ouvert

Le 19 juin 2019, le comité sénatorial permanent des banques et du commerce (le « Comité ») a publié un rapport sur le système bancaire ouvert intitulé Un système bancaire ouvert, qu’est-ce que cela signifie? (le « Rapport »). Le Rapport fait partie de l’examen en cours par le gouvernement fédéral des mérites et des risques associés à un système bancaire ouvert, dont bon nombre ont été résumés dans notre Bulletin de février 2019.

Aperçu du système bancaire ouvert

Le système bancaire ouvert désigne le libre accès aux interfaces d’applications bancaires et le libre partage des renseignements bancaires sur les consommateurs (avec leur consentement).

Sur le plan technologique, le secteur bancaire ouvert fait référence à un secteur dans lequel les institutions financières donnent libre accès à leur interface de programmation d’applications (« API »). Les nouvelles entreprises de technologie financière peuvent ainsi travailler de façon intégrée avec l’API d’une institution financière établie. En ce qui concerne les données sur les consommateurs, le système bancaire ouvert offre davantage de liberté aux consommateurs sur le plan de l’accès à leurs renseignements personnels, et permet le transfert de ces renseignements entre les fournisseurs de services financiers. Ce libre partage d’information favorise l’innovation et la concurrence entre les fournisseurs de services financiers. Il permet également aux consommateurs de contrôler leurs renseignements personnels ainsi que l’utilisation qui en est faite par des tiers.

Le système bancaire ouvert est susceptible d’accroître la concurrence entre les fournisseurs de services financiers, d’augmenter les services offerts aux consommateurs et d’accélérer l’innovation dans le secteur financier. Toutefois, le système bancaire ouvert présente également certains risques et défis connexes, notamment en ce qui concerne la protection de la vie privée, la sécurité des données, les crimes financiers et la stabilité financière.

Recommandations

Dans son Rapport, le Comité formule certaines recommandations à court et à long terme au gouvernement fédéral afin de favoriser la prise de mesures par le gouvernement, dont les suivantes :

a)  Examiner et réglementer la capture de données d’écran par les entreprises de technologie financière

Le Comité mentionne dans son Rapport qu’environ quatre millions de Canadiens utilisent déjà les services d’entreprises de technologie financière ayant recours à la « capture de données d’écran » pour recueillir les données sur les utilisateurs. Ces entreprises demandent à leur client de leur fournir les noms d’utilisateur et mots de passe qu’ils utilisent pour faire affaire en ligne avec leur institution financière, et elles collectent les données bancaires au moyen d’une capture d’écran de la page bancaire de leur client.

Le recours à la capture de données d’écran soulève deux problèmes. D’abord, cette technique ne limite pas la durée ni la portée de l’accès de l’application aux données du consommateur, ni l’utilisation qui en est faite. Ensuite, il est possible que le processus de capture de données d’écran viole les modalités des contrats que les utilisateurs ont conclus avec leur institution financière, laissant ainsi ces derniers sans protection en cas de violation de données.

Compte tenu de ce qui précède, le Comité recommande au gouvernement du Canada de désigner l’Agence de la consommation en matière financière du Canada (l’« ACFC ») comme organisme de surveillance provisoire des activités entourant la capture de données d’écran, ce qui l’autoriserait à faire ce qui suit :

1. mener une étude sur les risques et les avantages de la capture de données d’écran et sur d’autres aspects du système bancaire ouvert, et rendre publics périodiquement les résultats de ses recherches à l’intention des Canadiens;
2. organiser des campagnes de sensibilisation et de publicité afin de sensibiliser le public aux risques et aux avantages de la capture de données d’écran;
3. répondre aux plaintes et aux questions du public sur les activités entourant la capture de données d’écran;
4. coordonner, avec les autorités de réglementation provinciales et territoriales concernées, les efforts de surveillance des activités liées à la capture de données d’écran.

b)  Accorder du financement aux groupes de défense des consommateurs

Dans son Rapport, le Comité reconnaît l’absence de défenseurs des droits des consommateurs au sein du Comité. Il recommande au gouvernement fédéral d’accorder aux groupes de défense des consommateurs un financement immédiat afin que ceux-ci puissent mener leurs propres études sur les risques et les avantages d’un système bancaire ouvert et en publier les résultats.

c)  Établir un cadre fondé sur des principes

Le Comité recommande au gouvernement d’élaborer, avec les acteurs de l’industrie, un cadre fondé sur des principes qui intégrerait les dispositions législatives existantes applicables au secteur financier. Ces acteurs de l’industrie comprendraient les institutions financières sous réglementation fédérale et provinciale, les fournisseurs de services financiers, Paiements Canada, ainsi que les groupes de défense des consommateurs dont il est question ci-dessus.

Le cadre fournirait des indications sur ce qui suit :

1. les données auxquelles les fournisseurs de services financiers auraient accès;
2. la participation du secteur des paiements;
3. l’échéancier de mise en œuvre général;
4. les fournisseurs de services participants.

On s’attend également à ce que ce cadre oriente le développement d’une norme commune en matière de gouvernance des données pour les institutions financières afin d’assurer, entre autres choses, que son application soit neutre sur le plan technologique (c.-à-d. une norme qui convient à de multiples interfaces).

d)  Créer un registre des fournisseurs tiers accrédités ainsi qu’un « bac à sable » de l’innovation

Afin d’éviter que des tiers puissent s’approprier des données financières et les utiliser à mauvais escient, le Comité recommande la création et la tenue d’un registre des fournisseurs tiers accrédités.

Étant donné qu’un registre peut constituer un obstacle pour les fournisseurs tiers voulant se tailler une place sur le marché, le Comité recommande également la création d’un « bac à sable » de l’innovation, lequel permettrait aux sociétés de technologie financière de mettre à l’essai et d’évaluer des outils financiers à plus petite échelle avant d’obtenir l’accréditation. Ce « bac à sable » de l’innovation est semblable à la « Rampe de lancement de la CVMO » de la Commission des valeurs mobilières de l’Ontario, qui offre également aux entreprises de technologie financière un espace de création leur permettant de mettre à l’essai leur technologie et de s’assurer qu’elles exercent leurs activités en conformité avec les politiques de la CVMO.

e)  Apporter des modifications à la législation

Le Comité recommande que le gouvernement fédéral apporte trois modifications principales aux lois. La première de ces modifications aurait pour but d’interdire l’utilisation des données bancaires sur les consommateurs aux fins de souscription d’assurance, ce qui est conforme à la restriction prévue depuis longtemps dans la Loi sur les banques qui interdit aux banques d’exercer des activités dans le secteur de l’assurance.

La deuxième modification viserait le maintien de la stabilité du secteur bancaire canadien. Étant donné la possibilité que de grandes entreprises de technologie puissent considérablement perturber le secteur et que les volumes de transactions augmentent de façon exponentielle, cette législation exigerait le respect de normes de gestion du risque plus rigoureuses et l’accès à des modèles de financement résilients.

Le Comité recommande, comme troisième modification, l’ajout, au besoin, de dispositions relatives à la protection des consommateurs prévoyant, par exemple, la transparence des algorithmes et la possibilité pour les consommateurs de faire le suivi de leurs données et de les supprimer lorsqu’ils retirent leur consentement à leur transfert.

f)  Assurer l’harmonisation et l’accessibilité

Le Rapport comprend également des recommandations portant sur l’harmonisation et l’accessibilité. Plus particulièrement, le Comité recommande que le gouvernement fédéral travaille de concert avec les provinces et les territoires pour moderniser et harmoniser leur cadre législatif respectif, dans le but de permettre la participation dans toutes les provinces et tous les territoires. Le Comité recommande également que l’élaboration d’un système bancaire ouvert se fasse dans le cadre des efforts de modernisation de l’industrie des paiements. De plus, afin d’améliorer l’accessibilité, le Comité recommande que le gouvernement fédéral redouble d’efforts pour étendre l’accès à un réseau Internet aux collectivités éloignées ou rurales.

g)  Modernisation de la LPRPDE

Le Comité reconnaît que la Loi sur la protection des renseignements personnels et les documents électroniques (la « LPRPDE ») doit être modernisée afin de tenir compte de la transition vers un système d’échange d’information plus fluide et qu’elle soit plus conforme aux normes internationale en matière de protection des renseignements personnels. Le Comité recommande l’adoption de modifications qui accorderaient la priorité à la protection des consommateurs et incluraient ce qui suit :

• Droit à la portabilité des données. Droit des utilisateurs de donner comme instruction que leurs renseignements personnels soient transférés sur demande. Il serait ainsi plus facile pour les consommateurs de changer de banque, ou de permettre à des fournisseurs tiers d’avoir accès à certains renseignements seulement (sans avoir à leur fournir leurs nom d’utilisateur et mot de passe);
• Consentement.  Obligation d’obtenir un consentement « explicite et formel exprimé de manière simple et claire », distinct de tout contrat de service, qui indique en détail à quelles fins devra être utilisée l’information et quels tiers y auront accès;
• Normes.  Évaluation des entreprises en fonction de leurs lignes directrices, de leurs codes de pratique, de leurs mécanismes de certification et de leurs normes techniques dans le but de prouver leur respect des obligations en matière de protection des renseignements personnels et de cybersécurité;
• Application.  Renforcement des pouvoirs du commissaire à la protection de la vie privée en matière d’application de la loi et de surveillance, y compris l’octroi du pouvoir de rendre des ordonnances (de cessation et de préservation des données), et élargissement du type d’amendes et de leur portée;
• Réforme.  Remaniement de certains articles de la LPRPDE dans le but d’énoncer clairement les droits des consommateurs à l’égard de leurs renseignements personnels.

h)  Établir la surveillance

Enfin, en lien avec ce qui est mentionné ci-dessus, le Comité recommande que le commissaire à la protection de la vie privée du Canada et le commissaire de la concurrence du Canada soient désignés comme les autorités conjointement responsables de la réglementation et de l’application d’un système bancaire ouvert. Le commissaire à la protection de la vie privée s’assurerait du respect de la LRPDE et s’occuperait des questions liées à la protection de la vie privée, tandis que le commissaire de la concurrence serait chargé d’augmenter la concurrence dans ce secteur et de s’assurer que celle-ci se fait loyalement.

Conclusion

Il est de plus en plus manifeste que le Canada tend vers l’adoption d’un système bancaire ouvert, sous une forme ou une autre, s’inscrivant ainsi dans la tendance mondiale actuelle vers l’autonomie de l’information. Toutefois, les recommandations à court et à long terme du Comité mettent en évidence tout le chemin qu’il reste à parcourir avant qu’un système bancaire ouvert devienne réalité au Canada.

par Pat Forgione, Darcy Ammerman, Anthony Pallotta et Robbie Grant

Mise en garde

Le contenu du présent document ne fournit qu’un aperçu du sujet et ne saurait en aucun cas être interprété comme des conseils juridiques. Le lecteur ne doit pas se fonder uniquement sur ce document pour prendre une décision, mais devrait plutôt consulter ses propres conseillers juridiques.

© McMillan S.E.N.C.R.L., s.r.l. 2019