Authors
Associé, Respect de la vie privée et gestion de l'information, Toronto
Le 4 août 2021, le Comité consultatif sur le système bancaire ouvert (le « Comité ») a publié son Rapport final, qui comprend 34 recommandations sur la mise en œuvre d’un système bancaire ouvert au Canada. Le rapport final suggère qu’un système bancaire ouvert pourrait être opérationnel d’ici janvier 2023, et il devrait comprendre une approche canadienne qui reconnaît la possibilité de collaboration entre le gouvernement et l’industrie, chacun jouant un rôle distinct.
Le rapport final fait suite au rapport initial du Comité, Les finances axées sur les clients : le futur des services financiers, qui a été publié le 31 janvier 2020.
Recommandations du rapport final
Le rapport final présente ce qu’un système bancaire ouvert devrait offrir aux consommateurs canadiens et formule des recommandations sur la portée, la gouvernance, les règles communes, l’accréditation et les spécifications et normes techniques requises pour y arriver.
Il convient de souligner les éléments fondamentaux suivants qui doivent être en place pour qu’un système bancaire ouvert puisse commencer officiellement ses activités au Canada :
- Des règles communes aux participants de l’industrie dans le système bancaire ouvert pour veiller à la protection des consommateurs et à ce que la responsabilité incombe à la partie fautive. Les règles communes seraient axées sur la responsabilité, la protection de la vie privée et la sécurité. Le Comité traite précisément des préoccupations des banques concernant la responsabilité et la reddition de comptes, au vu des exigences en matière d’impartition aux termes de la Ligne directrice B-10 du Bureau du surintendant des institutions financières, et le besoin perçu des contrats bilatéraux. Le Comité affirme qu’un système bancaire ouvert ne peut pas fonctionner efficacement si des contrats bilatéraux sont requis entre les parties et les banques ne devraient pas être tenues responsables de la manière dont les données des banques qui sont transférées à la demande des consommateurs sont finalement utilisées par les tiers fournisseurs de services.
- Un cadre et un processus d’accréditation permettant aux tiers fournisseurs de services de participer au système bancaire ouvert.
- Des spécifications techniques qui rendent possible un transfert sécurisé et efficient des données et qui répondent aux objectifs stratégiques établis.
Nous abordons des recommandations importantes du rapport final ci-dessous.
Résumé
En premier lieu, le Comité recommande que le gouvernement fédéral nomme un responsable du système bancaire ouvert, lequel sera mandaté pour solliciter l’industrie afin de faire avancer ces éléments, et rendra compte au sous-ministre des Finances du Canada. Plutôt que de recommander qu’un organisme réglementaire existant supervise un système bancaire ouvert au Canada, le Comité recommande qu’une nouvelle entité de gouvernance soit créée précisément pour superviser l’administration en continu du système. Le Comité est d’avis qu’une approche exclusivement dirigée par le gouvernement ou par l’industrie ne conviendrait pas au Canada. Cet avis est traduit dans sa recommandation selon laquelle cette nouvelle entité devrait comprendre une représentation équilibrée des participants au système bancaire ouvert ainsi que des représentants des consommateurs. À la fin du mandat du responsable du système bancaire ouvert, la gouvernance du système passera à l’entité de gouvernance.
Échéancier
Le Comité fixe un échéancier serré pour la mise en œuvre du système, ne laissant que neuf mois pour la conception et neuf mois supplémentaires pour la mise en œuvre. La date de lancement est prévue en janvier 2023. L’urgence derrière cet échéancier est la prolifération du grattage d’écran, qui consiste à exiger des consommateurs qu’ils communiquent leurs justificatifs de connexion bancaire à des tiers, et qui crée, selon le Comité, des risques en matière de sécurité et de responsabilité pour les Canadiens. Compte tenu de cette urgence, le Comité a formulé de nombreuses recommandations en fonction de ce qui peut être fait rapidement, plutôt que ce qui peut prendre du temps à mettre en œuvre, présenter plus de risques ou demander des analyses et des discussions supplémentaires.
Participants et accréditation
Il est recommandé que les banques sous réglementation fédérale devraient être tenues de participer à la première phase d’un système bancaire ouvert et que les institutions financières sous réglementation provinciale devraient avoir la possibilité de s’y joindre volontairement. Toutes les autres entités devraient satisfaire aux critères d’accréditation pour participer au système. Bien qu’aucun critère d’accréditation précis ne figure dans le rapport final, le Comité souligne que les principes de fiabilité, d’indépendance, de proportionnalité au risque, de transparence et de cohérence devraient guider l’élaboration des critères. Le respect du critère d’accréditation et la conformité des participants devraient être examinés régulièrement.
Portée des données
La portée initiale devra tenir compte des données qui sont actuellement disponibles pour les Canadiens par l’entremise de leurs applications bancaires en ligne et ne devrait pas se limiter à des cas d’utilisation précis. Cela comprend les données fournies par les consommateurs, les données de solde, les données de transactions, les données sur les produits et les données accessibles au public. Les participants de l’industrie devraient être autorisés à exclure les données dérivées – qui sont décrites comme des données améliorées par les institutions financières afin d’offrir une valeur ou des perspectives supplémentaires au consommateur, comme des évaluations internes du risque de crédit ou de nouvelles offres de produits, et l’obligation de justifier toute exclusion. Tous les participants à un système bancaire ouvert devraient être également visés par des demandes de transfert de données autorisées par les consommateurs.
À la phase initiale, le Comité recommande que la portée soit limitée aux fonctions à accès en lecture seule. Autrement dit, les participants pourraient lire les données, mais ils ne pourraient pas exécuter de commandes comme effectuer des paiements ou créer des comptes (accès en écriture). L’accès en écriture soulève des risques plus importants, et, en outre, devrait être évalué dans le contexte d’autres initiatives, comme la modernisation des systèmes de paiements.
Le Comité soulève étonnamment la possibilité que les renseignements puissent être partagés entre des banques, des assureurs et des intermédiaires en assurance. Même si le Comité note que les données bancaires ne devraient pas être utilisées pour souscrire des polices d’assurance, ce commentaire est limité à la portée initiale d’un système bancaire ouvert, soulevant la possibilité que ces données puissent être partagées dans l’avenir. Cela représenterait une différence importante par rapport aux interdictions actuelles imposées sur ce partage de données avec les exceptions limitées prévues par la Loi sur les banques et ses règlements.
Responsabilités
Le Comité recommande que la responsabilité suive les données et incombe à la partie fautive. Des mécanismes simples et efficaces de traitement des plaintes devraient être offerts aux consommateurs; ceux-ci doivent prévoir des modalités de recours claires et automatiques. Comme c’est le cas pour les exigences fédérales de traitement des plaintes qui s’appliquant aux banques, le Comité recommande que les participants soient tenus d’avoir accès à un processus intégré de traitement des plaintes, être membres d’un mécanisme substitutif de résolution des différends ou d’un organisme externe de traitement des plaintes et limiter la responsabilité des consommateurs à un montant fixe (l’exemple donné est 50 $, qui reflète la somme maximale pour laquelle un consommateur peut être tenu responsable advenant la perte ou le vol d’une carte de crédit en vertu de la Loi sur les banques et ses règlements, ainsi que certaines lois provinciales sur la protection des consommateurs).
Respect de la vie privée et de la sécurité des données : essentiel
La protection de la vie privée des utilisateurs et la gestion sécuritaire des données sont d’une importance capitale à la mise en œuvre efficace d’un système bancaire ouvert. Le Comité reconnaît que la protection des données et le contrôle des données par les consommateurs sont des résultats clés qui devraient guider le développement du système. De plus, les règles communes devraient être mises au point pour traiter de la gestion de la vie privée et de la sécurité des données, en particulier en ce qui a trait à la gestion du consentement et de la vie privée et des risques opérationnels et systémiques.
Le responsable du système bancaire ouvert devrait faire appel à des experts techniques pour l’aider dans l’élaboration de normes techniques. Ces normes techniques devraient permettre le transfert sécurisé et efficace des données, prévoir une capacité d’évolution au fil des changements technologiques, permettre l’introduction de nouveaux produits novateurs et être compatible avec les approches internationales existantes. Un seuil minimum de normes de sécurité devrait être respecté par les entités qui demandent l’accréditation, en imposant des normes de sécurité plus strictes en fonction du risque.
Conclusion
Le rapport final constitue un autre jalon de la mise en œuvre d’un système bancaire ouvert au Canada. Toutefois, il reste à voir si des progrès plus concrets seront réalisés dans un délai convenable.
Même si le Comité affirme qu’un système bancaire ouvert peut être mis en œuvre d’ici 2023 et qu’il présente un échéancier détaillé de la façon dont cela peut être fait, en ce moment, il reste de nombreuses étapes à franchir avant la mise en œuvre. Par exemple, bien que des droits en matière de transférabilité des données (qui stimuleraient une approche législative contraignante à l’égard d’un système bancaire ouvert) ont été proposés dans la Charte numérique du Canada et le projet de loi C-11, Loi sur la protection de la vie privée des consommateurs, cette législation n’a pas été adoptée en raison de la prochaine élection fédérale, et elle devra être de nouveau déposée. Il est autrement possible qu’un autre projet de loi comportant un mécanisme législatif en matière de protection de la vie privée puisse être présenté. En outre, nous ne savons pas encore la priorité que le nouveau gouvernement, une fois formé, accordera au système bancaire ouvert et dans quelle mesure les recommandations du Comité seront suivies.