Système bancaire ouvert du Canada : le point sur les réunions des groupes de travail

Système bancaire ouvert du Canada : le point sur les réunions des groupes de travail

Le système bancaire ouvert du Canada commence à prendre forme.

Au cours des trois derniers mois, les quatre groupes de travail mis sur pied plus tôt cette année ont travaillé sur des règles communes, des critères d’accréditation et des normes techniques relativement à ce système. Ces groupes sont constitués de représentants des consommateurs, de banques et d’autres participants potentiels au système[1]. Chacun s’intéresse à l’un des quatre volets essentiels du système bancaire ouvert du Canada : l’accréditation, la responsabilité, la protection de la vie privée et la sécurité.

Jusqu’à maintenant, les quatre groupes ont pu se réunir cinq fois chacun, et des comptes-rendus de leurs trois premières réunions ont été publiés. Ce sont les résultats de ces douze réunions que le présent bulletin synthétise.

Un instant : qu’entend-on au fait par un système bancaire ouvert?

Dans un système bancaire ouvert, les consommateurs peuvent demander à leur institution financière de transmettre leurs données aux tiers de leur choix. S’ensuivent un accroissement de la concurrence, une amélioration de la portabilité des données et une multiplication des options accréditées de services et d’outils financiers s’offrant aux consommateurs et aux entreprises. Pour les entreprises de technologies financières, les données issues d’un système ouvert sont porteuses de croissance et d’expansion. Quant aux PME, elles pourraient en tirer de nombreux bénéfices, dont des plates-formes technologiques améliorées et une accessibilité accrue du crédit aux petites entreprises.

Nous suivons de près les travaux en ce sens au Canada depuis que l’idée a commencé à gagner en popularité en 2019. Nous avons résumé le Rapport final du Comité consultatif sur le système bancaire ouvert (le « Rapport final ») en août 2021 et produit un dossier approfondi sur les répercussions d’un système bancaire ouvert pour la protection de la vie privée et des données en octobre 2021. Plus récemment, nous avons écrit sur les résultats d’un sondage d’Open Banking Expo et la nomination d’Abraham Tachjian à titre de responsable du système bancaire ouvert du Canada.

Groupe de travail no 1 : l’accréditation

Que faudra-t-il faire pour participer?

Le groupe de travail sur l’accréditation doit établir un cadre pour l’accréditation des participants au système bancaire ouvert, y compris les critères d’accréditation et le processus d’accréditation ainsi que la couverture d’assurance ou la garantie financière comparable requise. L’objectif est d’établir un processus d’accréditation sain, solide et transparent qui atténuera les risques opérationnels, de réputation et de concentration (oligopoles).

Par voie consensuelle, les membres du groupe ont classé les critères d’accréditation dans quatre catégories : 1) les renseignements généraux et la gouvernance interne; 2) la capacité financière; 3) la certification; (4) la protection de la vie privée et la sécurité.

L’ajout aux catégories des enjeux environnementaux, sociaux et de gouvernance (ESG) et de la lutte contre le blanchiment d’argent (LCBA) a été envisagé, mais il n’a pas été possible de s’entendre. Notons que le groupe s’est intéressé à l’avenue d’un cadre comportant différents niveaux d’accréditation, selon des facteurs comme la taille ou le rôle du participant éventuel[2].

Si l’on veut favoriser la responsabilité au sein du système, les participants doivent absolument avoir la capacité financière d’assumer leurs responsabilités. Le groupe est arrivé à un consensus général : l’accréditation doit être conditionnelle à l’obtention d’une police d’assurance adéquate ou d’une garantie financière comparable. Un consensus général s’est dégagé en faveur de l’approche flexible adoptée sur la question par l’Australie, qui évalue le caractère adéquat d’une police d’assurance selon des critères tels que i) la nature des produits ou services à fournir, ii) la nature des données à gérer et iii) le volume de données à traiter[3].

Groupe de travail no 2 : la responsabilité

Que se passera-t-il en cas de problème?

Le groupe de travail sur la responsabilité élabore les règles d’attribution de la responsabilité en cas de problème, c’est-à-dire i) le processus de traitement des plaintes des consommateurs, ii) les règles de ventilation de la responsabilité et iii) les cadres de traçabilité.

Les membres ont convenu que si un consommateur subissait une perte en utilisant l’une ou l’autre des fonctions du système bancaire ouvert, sa responsabilité civile devrait être limitée à un petit montant fixe de 50 $, à moins qu’une négligence grave, une faute grave ou un acte frauduleux de sa part soit démontrable[4]. Si un fonds commun entre tous les participants au système bancaire ouvert a été envisagé, la majorité des membres s’est dite d’avis que le destinataire de données devait être tenu de dédommager d’office les consommateurs ayant subi un préjudice financier.

L’un des objectifs du groupe consistait à établir une approche standard visant à protéger les consommateurs après une violation de données sensibles. Ses membres ont discuté de l’importance de mesures actives et permanentes telles que des services de surveillance du crédit, la fermeture des comptes compromis et des enquêtes transparentes sur les causes profondes[5].

Le groupe a aussi étudié, pour le système bancaire ouvert, des idées de cadres de traçabilité qui faciliteraient le suivi et créeraient des pistes de vérification quant aux données en cours de transfert. Les membres se sont entendus sur une approche décentralisée (sans intermédiaire public chargé de traiter les données). Le groupe a également convenu que tous les destinataires de données devraient se voir imposer des obligations de traçabilité des données lorsqu’ils facilitent une demande de données émanant d’un consommateur, et que les destinataires devraient demeurer responsables des données bancaires ouvertes même s’ils externalisent leurs activités commerciales. Il a proposé que les données enregistrées aux fins de traçabilité comprennent le consentement de l’utilisateur, les flux de données et les dates de chacune des demandes de partage de données[6].

Groupe de travail no 3 : la protection de la vie privée

Comment gérera-t-on le consentement?

Le groupe de travail sur la protection de la vie privée s’occupe des règles entourant la manière dont le consommateur peut accorder ou révoquer son consentement au partage de ses données et les usages permis de ces données dans les limites du consentement.

Il a jugé opportun d’aligner ces règles sur les normes de protection de la vie privée déjà applicables au secteur des services financiers, dont les lois fédérales et provinciales en la matière[7]. Il a aussi convenu que la marche à suivre pour donner ou révoquer son consentement devait être claire, simple et transparente, afin que l’expérience du consommateur soit positive. Ce dernier devrait pouvoir retirer rapidement son consentement auprès du destinataire ou du fournisseur des données (le destinataire et le fournisseur devraient communiquer entre eux pour donner suite à la révocation). Le groupe a envisagé des situations où le consentement serait révoqué d’office; par exemple, lorsque le consommateur ferme son compte ou que l’usage prévu des données n’est plus le même qu’au moment de la collecte.

Il a aussi discuté des exigences relatives à la communication publique d’informations utiles aux consommateurs (conditions, accords de service, procédures de traitement des plaintes, etc.) et a jugé opportun de s’éclairer à cet égard des principes du Cadre de protection des consommateurs de produits et services financiers, qui s’appliquent déjà aux banques et autres institutions financières[8].

Groupe de travail no 4 : la sécurité

Comment protégera-t-on les données?

Le groupe de travail sur la sécurité définit les règles servant à établir les exigences de sécurité de base applicables aux participants, notamment en ce qui concerne la sécurité des données, la cybersécurité et les risques opérationnels associés à un système bancaire ouvert. Notons qu’il n’a pas à évaluer les normes techniques de l’interface de programmation (API) devant faciliter l’échange de données entre les participants. Cette tâche reviendra au responsable du système bancaire ouvert, qui recevra le soutien du ministère des Finances du Canada.

Après l’analyse d’une multitude de cadres et de régimes de certification (p. ex., ISO 27001, SOC 2), la majorité des membres du groupe a jugé que l’option la plus appropriée était le cadre du National Institute of Standards and Technology (le « NIST »). Ce dernier a l’avantage non négligeable de permettre plusieurs niveaux de certification et de traiter à la fois de sécurité de l’information et de cyberrisques[9].

Le groupe a cependant émis quelques réserves au sujet du cadre du NIST, dont a) la difficulté que les petits participants pourraient avoir à s’y conformer, b) le temps et les ressources nécessaires à la mise en œuvre, aux modifications du cadre et aux contrôles supplémentaires, et c) le caractère plutôt limité sur le marché de l’expertise relative au cadre. Il a conclu que la plupart de ces inconvénients pourraient être atténués par une communication claire donnant au marché le temps de s’adapter[10].

Points à retenir

• Les groupes de travail ont attaché une grande importance à la sensibilisation et à la protection des consommateurs, ainsi qu’à une expérience utilisateur positive, des éléments essentiels à une forte adhésion au système bancaire ouvert.
• La flexibilité et l’autonomie dans l’établissement des exigences sont manifestement préconisées, compte tenu de la pluralité des participants au système bancaire ouvert. Un consensus général s’est notamment dégagé en faveur de l’établissement de différents niveaux d’exigences d’accréditation.
• Ne voulant pas réinventer la roue, les groupes de travail s’inspirent de lois et de cadres existants, dont la Loi sur la concurrence, les directives réglementaires, le Cadre de protection des consommateurs de produits et services financiers et le cadre du NIST.

Calendrier et prochaines étapes

Chacun des groupes de travail prévoit se réunir quelques fois encore pour peaufiner le système et, selon le ministère des Finances, verra son mandat prendre fin le 29 septembre 2023[11]. Il paraît donc probable que le système sera prêt seulement à la fin de 2023, voire au début de 2024, alors que le gouvernement fédéral avait parlé du début de 2023[12].

Nous vous fournirons plus d’informations dès que possible.

[1] Les groupes de travail ont récemment été critiqués pour avoir négligé le point de vue des consommateurs : voir Vass Bednar et Robert Fay, « If open banking is for consumers, why are they missing from the discussion? » (3 octobre 2022), Financial Post. Les représentants des consommateurs sont absents des groupes de travail sur l’accréditation et la sécurité, et ils ne constituent que 14 % des membres du groupe de travail sur la responsabilité et 15 % du groupe de travail sur la protection de la vie privée. Un organisme public de défense des intérêts des consommateurs (l’Agence de la consommation en matière financière du Canada) a participé aux réunions de chacun des groupes, mais toujours à titre d’invité.
[2] Ministère des Finances du Canada, « 2e réunion du groupe de travail sur l’accréditation – Le 27 juillet 2022 » (18 août 2022).
[3] Ministère des Finances du Canada, « 3e réunion du groupe de travail sur l’accréditation – Le 23 août 2022 » (23 août 2022).
[4] Ministère des Finances du Canada, « 1re réunion du groupe de travail sur la responsabilité – Le 7 juillet 2022 » (7 juillet 2022).
[5] Ministère des Finances du Canada, « 2e réunion du groupe de travail sur la responsabilité – Le 26 juillet 2022 » (26 juillet 2022).
[6] Ministère des Finances du Canada, « 3e réunion du groupe de travail sur la responsabilité – Le 18 août 2022 » (26 septembre 2022).
[7] Ministère des Finances du Canada, « 2e réunion du groupe de travail sur la protection de la vie privée – Le 25 juillet 2022 » (16 août 2022).
[8] Ministère des Finances du Canada, « 3e réunion du groupe de travail sur la protection de la vie privée – Le 16 août 2022 » (26 septembre 2022).
[9] La certification SOC 2 a été jugée trop rudimentaire, et la certification ISO 27001, trop stricte.
[10] Ministère des Finances du Canada, « 2e réunion du groupe de travail sur la sécurité – Le 28 juillet 2022 » (18 août 2022).
[11] Ministère des Finances du Canada, « Mandat des groupes de travail sur le système bancaire ouvert et du comité directeur » (7 juillet 2022).
[12] Plateforme 2021 du Parti libéral du Canada, Avançons ensemble, s.v. « Un système financier plus équitable ».

par Darcy Ammerman, Robbie Grant, Mitch Koczerginski, Robert Piasentin, Pat Forgione, Isabelle Guevara et Kendra Wilson (stagiaire en droit)

Mise en garde

Le contenu du présent document ne fournit qu’un aperçu du sujet et ne saurait en aucun cas être interprété comme des conseils juridiques. Le lecteur ne doit pas se fonder uniquement sur ce document pour prendre une décision, mais devrait plutôt obtenir des conseils juridiques précis.

© McMillan S.E.N.C.R.L., s.r.l. 2022