Convaincus que les consommateurs devraient pouvoir exercer plus de contrôle sur leurs données financières personnelles, les décideurs de certains pays comme le Royaume Uni et l’Australie ont choisi pour ce faire de mettre en place ce que l’on appelle communément un « système bancaire ouvert ». De manière générale, un système bancaire ouvert se caractérise par deux éléments : premièrement, les consommateurs peuvent décider dans quelles circonstances ils autorisent les banques à communiquer à des tiers certains renseignements financiers les concernant; deuxièmement, les consommateurs ont accès à de nouvelles solutions pour effectuer des paiements à partir de leurs comptes bancaires.
Dans son budget de 2018, le gouvernement fédéral a fait part de son intention de demander à un comité consultatif d’examiner le bien-fondé de la mise en place d’un système bancaire ouvert au Canada et, en janvier 2019, il a diffusé un document de consultation à cette fin 1. En juin 2019, le Comité sénatorial permanent des banques et du commerce a publié un rapport, Un système bancaire ouvert, qu’est-ce que cela signifie?, contenant plusieurs recommandations quant à l’établissement d’un cadre pour entourer la mise en place d’un système bancaire ouvert au Canada 2.
Comme l’industrie de la technologie financière (souvent appelée « fintech » en anglais) est en constante évolution, les consommateurs de partout dans le monde se voient offrir de nouveaux produits et services financiers 3. Pour avoir accès à ces services et produits, les consommateurs doivent transférer leurs données financières personnelles. Toutefois, dans la plupart des cas, ils n’ont que peu de contrôle sur leurs données, puisque celles-ci sont recueillies et stockées par leurs institutions financières. Ainsi, les consommateurs qui souhaitent utiliser des services de technologie financière – comme des agrégateurs de données qui colligent les données financières d’un consommateur tirées de plusieurs comptes et institutions pour produire un instantané de sa situation financière – n’ont d’autre choix que de se tourner vers les technologies dites de « capture de données d’écran ».
Le mécanisme de capture de données d’écran permet à certaines applications de technologie financière pour téléphones intelligents d’avoir accès aux données bancaires d’un utilisateur. Le consommateur qui utilise cette méthode transmet à un tiers (habituellement une entreprise de technologie financière) ses identifiants de connexion à une plateforme de services bancaires en ligne. Le tiers utilise ensuite ces informations pour ouvrir une session et « se faire passer » pour la personne afin d’extraire des données. En confiant ses identifiants de connexion à un tiers, le consommateur lui permet d’avoir entièrement accès à son compte et risque ainsi d’être victime de vol d’identité ou de fraude, et même de contrevenir aux conditions de son contrat de service avec son institution financière. En outre, le consommateur qui autorise un tiers à accéder à ses données n’a plus aucun contrôle sur l’endroit où ses données sont stockées ni sur la durée pendant laquelle elles seront conservées.
Le ministère des Finances Canada estime qu’actuellement, près de 4 millions de Canadiens utilisent des applications pour téléphone intelligent qui ont recours à la « capture de données d’écran » pour avoir accès à leurs données financières, et ce nombre augmente rapidement 4.
Il existe une solution plus sécuritaire pour permettre à un service de technologie financière d’accéder aux données financières d’un consommateur : les interfaces de programmation d’application (API). Une API est un logiciel intermédiaire qui permet à deux applications de communiquer entre elles. Elle agit comme un point d’accès universel par lequel l’information est extraite d’une base de données. En se servant d’une API pour transmettre des renseignements financiers personnels, les consommateurs peuvent garder le contrôle sur leurs identifiants de connexion et éventuellement déterminer les données auxquelles les services de technologie financière peuvent avoir accès ainsi que la durée pendant laquelle ces services peuvent les consulter. Les API constituent un élément central du système bancaire ouvert.
Figure 1 – Mécanisme de transfert de données financières par capture de données d’écran ou à l’aide d’une interface de programmation d’application
Source: Figure préparée par la Bibliothèque du Parlement.
Dans un système bancaire ouvert, les API sont le principal mécanisme technologique permettant la transmission de données d’un consommateur entre une banque et un fournisseur tiers de technologie financière. Dans le même ordre d’idées, le service de covoiturage Uber effectue des transactions à l’aide d’une API de PayPal pour traiter les paiements, et d’une API de Google pour fournir des fonctionnalités cartographiques.
Un système bancaire ouvert peut prendre différentes formes, en fonction du territoire concerné, du marché et de la réglementation en vigueur. Comme d’autres pays, le Canada doit décider si la participation des banques devrait se faire sur une base volontaire ou si celle-ci devrait être obligatoire. Il doit également déterminer quels produits financiers seraient visés par un système bancaire ouvert, y compris éventuellement les comptes d’épargne, les comptes chèques, les cartes de crédit, les emprunts hypothécaires, les prêts personnels ou commerciaux. La manière dont les entreprises de technologie financière auront accès au système est aussi un autre facteur important à prendre en considération. Il faut notamment déterminer si celles ci devraient être accréditées d’une façon ou d’une autre et, le cas échéant, quel organisme devrait être responsable de ce processus. Il faut également se pencher sur la façon dont les consommateurs pourront décider d’adhérer au système bancaire ouvert ou de se retirer de celui-ci. Certains pays envisagent même de regarder au-delà de l’industrie bancaire et d’appliquer les règlements mis en place pour un système bancaire ouvert à d’autres industries qui recueillent les données confidentielles des consommateurs, comme les secteurs de l’énergie ou de l’assurance.
Le Canada doit aussi établir les types de privilèges d’accès qui seraient accordés aux entreprises de technologie financière dans le cadre d’un système bancaire ouvert. Ces privilèges peuvent être classés dans les catégories suivantes :
Bien que la plupart des analystes conviennent de dire qu’il serait bon que les Canadiens puissent avoir un contrôle accru sur leurs données financières personnelles, les membres de l’industrie s’interrogent sur la manière dont un système bancaire ouvert pourrait être mis en œuvre dans le respect du cadre réglementaire actuel du Canada.
À titre d’exemple, au cours des dernières années, des spécialistes de la protection des renseignements personnels, le Commissariat à la protection de la vie privée du Canada et différents groupes d’intervenants ont signalé que l’adoption d’un système bancaire ouvert présentait des risques pour la protection des renseignements personnels. C’est pourquoi ils ont exhorté le gouvernement fédéral à mettre à jour la Loi sur la protection des renseignements personnels et les documents électroniques afin de moderniser le cadre réglementaire du Canada dans le domaine de la protection des renseignements personnels et de modeler celui-ci sur les lois en vigueur dans d’autres pays, plus particulièrement au sein de l’Union européenne 6. Selon le ministère des Finances Canada, pour adopter un régime bancaire ouvert au Canada, il faut veiller à respecter les droits à la protection de la vie privée des consommateurs et à leur fournir une protection adéquate lorsque leurs données financières sont communiquées 7.
Certains intervenants se sont également demandé si le cadre de système bancaire ouvert proposé s’appliquerait également aux institutions financières réglementées à l’échelon provincial ou territorial, comme les coopératives de crédit et les caisses populaires.
En ce qui concerne les avantages, les experts ont indiqué qu’un système bancaire ouvert pourrait offrir des possibilités et des avantages aux personnes « sous bancarisées » et vulnérables sur le plan financier. En outre, la croissance du secteur de la technologie financière pourrait permettre à l’économie canadienne de faire des gains substantiels 8. Le ministère des Finances Canada estime également qu’un système bancaire ouvert faciliterait les transactions financières pour les consommateurs, permettrait d’accroître leurs connaissances financières de base, et leur donnerait accès à des services financiers qui ne sont pas toujours offerts par les institutions traditionnelles 9.
À l’instar du Canada, de nombreux pays étudient les avantages et les défis inhérents à un système bancaire ouvert pour leurs citoyens, leur secteur financier et l’ensemble de leur économie. Certains pays, dont la Corée du Sud, les États-Unis, l’Inde, le Japon et Singapour, laissent le marché guider la mise en œuvre d’un système bancaire ouvert et de mesures d’échange de données, alors que d’autres, comme l’Australie, le Royaume-Uni en tant que membre de l’Union européenne (UE) et Hong Kong, ont choisi d’adopter un cadre réglementaire pour la mise en œuvre d’un système bancaire ouvert 10. À l’heure actuelle, les deux pays qui ont les régimes bancaires ouverts les plus établis sont le Royaume-Uni et l’Australie.
Afin de prendre en considération les nouveaux services de paiement numérique et de répondre aux préoccupations des consommateurs à l’égard des atteintes à la vie privée et des violations de la sécurité informatique, l’UE a adopté deux importants textes législatifs, entrés tous les deux en vigueur en 2018 : le Règlement général sur la protection des données (RGPD) 11 et la Directive sur les services de paiement 2 (DSP2) 12. Le RGPD définit les droits des consommateurs en ce qui concerne les renseignements personnels détenus par les entreprises et oblige ces dernières à protéger les données personnelles des consommateurs. La DSP2, quant à elle, met à jour la directive de l’UE concernant les services de paiement afin de tenir compte des paiements en ligne et des paiements mobiles, et de protéger les consommateurs contre la fraude et les abus liés aux paiements. De plus, afin de favoriser la mise au point et l’utilisation de services de paiement numérique novateurs, la DSP2 autorise les entreprises de technologie financière agréées à avoir accès aux comptes bancaires d’un consommateur après avoir reçu son consentement.
Pour remplir ses obligations au titre de la DSP2 et répondre aux préoccupations exprimées par les intervenants du secteur des banques de détail britannique en ce qui a trait à la concurrence, l’autorité de la concurrence et des marchés du Royaume-Uni, la Competition and Markets Authority, a créé une société privée financée par les neuf plus grandes banques du pays et chargée de la mise en œuvre du système bancaire ouvert, l’Open Banking Implementation Entity (OBIE) 13. Le mandat de l’OBIE consiste, entre autres, à élaborer des normes techniques, visant notamment les API, pour l’échange de données financières personnelles, à aider les banques et les entreprises de technologie financière réglementées à appliquer les normes du système bancaire ouvert, à tenir un registre des fournisseurs de services financiers réglementés inscrits dans le système bancaire ouvert, et à traiter les différends et les plaintes. En septembre 2019, le Royaume-Uni comptait 116 fournisseurs tiers inscrits. Comme la DSP2 se concentre principalement sur les paiements, le pays a établi en juillet 2019 un groupe consultatif sur la gestion financière ouverte, l’Advisory Group on Open Finance, afin de déterminer si le mécanisme d’échange de données financières devrait être utilisé pour une gamme plus vaste de services financiers 14.
La DSP2 est entrée en vigueur le 14 septembre 2019. En revanche, l’Autorité bancaire européenne a récemment annoncé que, puisque les entreprises de certains États de l’UE n’étaient pas encore prêtes à mettre en application les exigences en matière « d’authentification forte des clients » 15 énoncées dans la DSP2, la date limite pour se conformer à ces exigences serait repoussée au 31 décembre 2020 16.
Contrairement à l’UE et au Royaume-Uni, l’Australie a choisi d’appliquer les mesures d’échange de données à un éventail d’entreprises bien plus vaste. En mai 2018, elle a adopté un droit des consommateurs à leurs données, le Consumer Data Right, qui vise à permettre aux consommateurs d’avoir un meilleur accès à leurs données personnelles et d’en avoir le contrôle 17. Le droit des consommateurs à leurs données s’appliquera tout d’abord au secteur bancaire, afin de mettre en œuvre un système bancaire ouvert, puis aux secteurs de l’énergie et des télécommunications, et éventuellement à d’autres secteurs à l’avenir. Le principal organisme de réglementation dans ce domaine est la commission australienne de la concurrence et de la consommation, l’Australian Competition and Consumer Commission (ACCC), qui s’appuie sur le commissariat australien à l’information, l’Office of the Australian Information Commissioner, et un organisme de normalisation des données, le Data Standards Body.
Le système bancaire ouvert doit être mis en œuvre par étapes, en vue de rendre accessibles, d’ici le 1er février 2020, les renseignements des consommateurs à des fins de prêts hypothécaires, de cartes de crédit et de débit, ainsi que de comptes de dépôt et d’opérations. Le 25 septembre 2019, l’ACCC a publié le cadre de mise en œuvre du droit des consommateurs à leurs données dans le secteur bancaire, et a diffusé des règles provisoires sur la façon dont les entreprises peuvent obtenir leur accréditation en vue de fournir des produits et services aux consommateurs 18.
En ce qui concerne l’application du droit des consommateurs à leurs données à d’autres secteurs, l’ACCC a déjà publié un document de consultation sur la façon de le faire de manière optimale dans le secteur de l’énergie 19. En août 2019, elle a également publié un document dans lequel elle discutait du modèle qu’elle prévoyait d’utiliser pour l’échange de données dans ce secteur 20.
Alors que le Comité consultatif sur un système bancaire ouvert du ministère des Finances Canada examine les divers aspects de la mise en œuvre d’un système bancaire ouvert au pays, il doit relever le défi, d’une part, d’assurer la compétitivité du secteur financier canadien en créant un climat dans lequel les entreprises de technologie financière peuvent offrir de nouvelles solutions à leurs clients, et, d’autre part, de protéger les renseignements personnels des Canadiens et d’assurer la sécurité de leurs données financières personnelles.
† Les documents de la série En bref de la Bibliothèque du Parlement sont des survols de sujets d’actualité. Dans certains cas, ils donnent un aperçu de la question et renvoient le lecteur à des documents plus approfondis. Ils sont préparés par le Service d’information et de recherche parlementaires de la Bibliothèque, qui effectue des recherches et fournit des informations et des analyses aux parlementaires, ainsi qu’aux comités du Sénat et de la Chambre des communes et aux associations parlementaires, et ce, de façon objective et impartiale. [ Retour au texte ]
(2.07 Mo, 50 pages), 1re session, 42e législature, juin 2019. [ Retour au texte ] (1.79 Mo, 24 pages), 2019. [ Retour au texte ]reposant sur l’utilisation de deux éléments ou plus appartenant aux catégories « connaissance » (quelque chose que seul l’utilisateur connaît), « possession » (quelque chose que seul l’utilisateur possède) et « inhérence » (quelque chose que l’utilisateur est) et indépendants en ce sens que la compromission de l’un ne remet pas en question la fiabilité des autres.[ Retour au texte ]
© Bibliothèque du Parlement