Un système bancaire ouvert au Canada dès 2023?

Un système bancaire ouvert au Canada dès 2023?

Le 4 août dernier, le Comité consultatif sur un système bancaire ouvert (le « Comité ») a publié son rapport final (le « Rapport »), le plus récent pas vers l’instauration d’un système bancaire ouvert au Canada.

Les premiers pas ont été faits en 2018, année de la création du Comité. Puis, en 2020, le Comité a publié son rapport initial, intitulé Les finances axées sur les clients : le futur des services financiers. Il y soutient qu’un système bancaire ouvert offrirait de nombreux avantages aux Canadiens, comme un contrôle accru de leur information financière, un meilleur accès à des taux avantageux et à des services financiers variés, et un secteur financier innovant et concurrentiel sur la scène internationale. Le Comité recommandait de prendre des mesures pour instaurer un tel système au pays. Les travaux du Comité font l’objet de bulletins que nous avons publiés en février 2020 et en février 2021. Des bulletins de février et de juillet 2019 traitent du système bancaire ouvert de façon plus générale.

Après son rapport initial, le Comité a amorcé une deuxième phase de consultation auprès des intervenants. Dans le Rapport, lequel représente l’aboutissement de ces consultations, le Comité formule des recommandations sur six aspects du système bancaire ouvert au Canada : vision, portée, gouvernance, règles communes, accréditation et normes techniques.

Notons que le Comité avait initialement préféré le terme « finances axées sur les clients » à « système bancaire ouvert ». Dans le Rapport, il revient à ce dernier terme, qui est « bien connu » internationalement.

Vision : une approche hybride axée sur le consommateur

La principale recommandation pour cet aspect est de concevoir un cadre axé sur le consommateur qui, entre autres, protège ses données, lui permet de les maîtriser et met à sa disposition des recours en cas de problème. Pour concrétiser cette vision et atteindre l’objectif d’inclusion financière, le Comité recommande la mise en place de programmes et de ressources d’éducation financière. De plus, comme dans son premier rapport, le Comité insiste sur l’adoption d’une approche hybride et souligne que le gouvernement et l’industrie ont chacun un rôle à jouer dans la mise en place et l’administration d’un système bancaire ouvert au Canada.

Portée : commencer à petite échelle pour mieux grandir 

Le Comité fait aussi des recommandations quant aux participants qui devraient être visés et à l’étendue des données qui devraient être accessibles. Il suggère que toutes les banques sous réglementation fédérale soient tenues de participer, que les institutions financières régies par les provinces (comme les coopératives de crédit) participent sur une base volontaire et que les autres entités participent si elles respectent des critères d’accréditation (que nous abordons un peu plus loin). Selon lui, le consentement exprès des particuliers et des petites et moyennes entreprises devrait être obtenu pour qu’un accès réciproque aux données soit permis, et les participants ne devraient pas avoir le droit de rendre un produit ou un service conditionnel à un tel accès. Le Comité recommande que les données « auxquelles les consommateurs ont généralement un accès rapide par l’entremise de leurs applications bancaires en ligne » soient visées par la portée initiale du système bancaire ouvert, et laisse la porte ouverte à l’ajout ultérieur d’autres types de données.

Cela dit, il faudrait garder une portée suffisamment restreinte pour que les données dérivées (p. ex., les données qu’une institution financière améliore pour offrir une valeur ou des perspectives supplémentaires au consommateur, comme des évaluations internes du risque de crédit ou de nouveaux produits) en soient exclues si l’institution ou le participant le souhaite. Par ailleurs, les tiers ne devraient pas pouvoir modifier les données sur les serveurs des banques. Autrement dit, les données seraient accessibles en « lecture seule ». Soulignons aussi que selon le Rapport, en raison de la complexité des données sur les assurances et le risque de résultats inéquitables, les données bancaires ne devraient pas être utilisées pour souscrire des polices d’assurance dans la portée initiale du système.

Gouvernance : une approche en deux temps

Le Comité recommande de mettre en place un système de gouvernance en deux temps pour accélérer l’instauration d’un système bancaire ouvert. Pendant la première phase, le gouvernement nommerait un responsable du système bancaire ouvert et lui donnerait neuf mois pour élaborer trois outils fondamentaux : des règles communes, des critères d’accréditation et des normes techniques. Le responsable pourrait venir « de la fonction publique ou de l’externe », mais il devrait bien connaître les secteurs des finances et des technologies. Les tiers auraient l’occasion pendant les neuf mois suivants de demander une accréditation et de mettre le système à l’essai. Le système serait mis à la disposition des consommateurs pendant la deuxième phase, qui devrait commencer d’ici janvier 2023. Pendant la deuxième phase, l’administration du système passerait des mains du responsable désigné à celles d’une entité « adaptée à l’objectif » créée par le gouvernement pendant la première phase.

Règles communes : pleins feux sur la responsabilité, la protection de la vie privée et la sécurité

Le Comité recommande de mettre en place des règles communes pour le système bancaire ouvert (plus particulièrement en ce qui a trait à la responsabilité, à la protection de la vie privée et à la sécurité) qui remplaceraient le système actuel d’ententes bilatérales entre les banques et les tiers fournisseurs de services. Il faudrait d’abord attribuer les responsabilités et décrire un mécanisme clair de plainte pour les consommateurs. Actuellement, au Canada, les banques sont ultimement responsables des activités imparties qui font l’objet de plaintes. Dans le nouveau système ouvert, les banques ne seraient pas responsables de l’utilisation qui est faite par des fournisseurs tiers des données qui ont été transférées à la demande des consommateurs. Les règles sur la protection de la vie privée devraient exiger le consentement exprès du consommateur à l’échange de données et lui donner le contrôle de ses données. Les règles sur la sécurité devraient quant à elles protéger les données des consommateurs de deux façons : en sécurisant les données (à l’aide, par exemple, de processus d’authentification et d’autorisation) et en sécurisant les infrastructures (par exemple en exigeant un suivi des incidents et la mise en place de mesures de rétablissement).

Accréditation : des critères et des contrôles de conformité

Selon le Comité, l’objectif ultime de l’accréditation devrait être de trouver le juste équilibre entre l’entrée de fournisseurs de services tiers dans le système et la protection efficace des données des consommateurs. Le Comité recommande que le responsable du système bancaire ouvert fixe des critères d’accréditation pour les participants potentiels et retienne les services d’une entité indépendante pour vérifier leur conformité. Les critères devraient évaluer la convenance des participants sur les plans des opérations, des finances, de la protection de la vie privée et de la sécurité à l’aide d’un processus semblable aux standards d’attestation SOC (Systems and Organization Controls). Le Comité recommande en outre que, au moment d’établir les critères, le responsable du système bancaire ouvert prenne en considération la fiabilité, l’indépendance, la proportionnalité au risque, la transparence et la cohérence.

Spécifications et normes techniques : principes directeurs 

Les spécifications techniques balisent nombre des aspects d’un système bancaire ouvert, comme le transfert et le stockage de données, l’expérience qu’ont les consommateurs de l’interface, l’authentification des consommateurs et la gestion des consentements. Le Comité remarque que « des efforts considérables sont en cours sur le marché canadien » pour élaborer des normes et des spécifications techniques. Il recommande de poursuivre sur cette lancée en se laissant guider par les principes suivants : accessibilité et inclusion pour les participants accrédités, expérience positive des consommateurs, transfert sécurisé et efficace de données, souplesse et compatibilité avec les approches internationales.

Conclusion

Le Comité conclut le Rapport en recommandant de mettre en œuvre rapidement un système bancaire ouvert au Canada et en pressant le gouvernement à nommer un responsable. Si les recommandations sont suivies, un système bancaire ouvert pourrait être en place au Canada dès janvier 2023, ce qui représenterait une transformation très attendue du système financier du pays.

par Darcy Ammerman et Tayler Farrell (stagiaire en droit)

Mise en garde

Le contenu du présent document ne fournit qu’un aperçu du sujet et ne saurait en aucun cas être interprété comme des conseils juridiques. Le lecteur ne doit pas se fonder uniquement sur ce document pour prendre une décision, mais devrait plutôt obtenir des conseils juridiques précis.

© McMillan S.E.N.C.R.L., s.r. l. 2021