Parna Sabet-Stephenson est restée sceptique face à la promesse d’open banking évoquée dans la déclaration économique de l’automne 2024. Bien que l’idée de permettre aux institutions financières de partager en toute sécurité les données des comptes clients avec des tiers, tels que les banques et les sociétés de gestion de patrimoine, d’ici à 2026, paraisse prometteuse.
En fait, cette promesse ne date pas d’hier.
Les services de partage de données reposent actuellement sur la récupération d’écran, ce qui oblige les utilisateurs à communiquer leurs données de connexion à un tiers, créant ainsi des risques pour la sécurité. L’Open Banking viendra remplacer ce système.
L’Énoncé économique de l’automne 2023 s’est engagé à mettre en place l’open banking d’ici 2025. Quant au premier projet de loi sur l’open banking qui a reçu la sanction royale en juin 2024, il contenait « très peu de choses », observe Parna Sabet-Stephenson, responsable des services financiers et de la technologie au sein du cabinet d’avocats Gowling WLG à Toronto.
Un deuxième projet de loi sur les services d’open banking, qui devait entrer en vigueur en 2024, a été abandonné lorsque le Parlement a été prorogé à la demande du premier ministre sortant, Justin Trudeau. Il aurait introduit des éléments substantiels du cadre bancaire ouvert, tels que des détails sur l’accréditation des entités participantes. Jusqu’à présent, le gouvernement s’est contenté de mettre à jour un cadre connexe.
« Ce cadre, sans la législation, n’apporte rien, constate Parna Sabet-Stephenson. Il s’agit d’une promesse pour 2026, mais que vaut cette promesse si la législation n’a pas été adoptée ? »
Pourtant, l’open banking progresse. Cela signifie que les institutions financières et les fintechs devront convaincre les clients de transférer des données dans leurs systèmes, souligne Robert Hayman, responsable des initiatives émergentes et de la fourniture de produits chez Central1, un fournisseur de services bancaires de base pour plus de 250 institutions financières.
Mais les institutions financières qui envisagent l’open banking pourraient être confrontées à un dilemme.
« Dois-je être hermétique au point de refuser le transfert des données d’un client [vers un concurrent] et risquer toute la relation avec ce client ? Ou bien [devrions-nous] permettre le transfert de ces données vers une fintech, dans l’espoir de maintenir la relation globale avec le client ? Et qui sait, peut-être qu’avec le temps, nous serons en mesure d’offrir un type de service similaire. »
L’ACFC et les mécanismes de plainte
Le cadre définissant le rôle réglementaire de l’Agence de la consommation en matière financière du Canada (ACFC) dans l’open banking promet d’aligner les acteurs sur une norme technique unique, d’établir des exigences en matière d’accréditation et de certification, et de mettre en place une structure de responsabilité partagée. Ce rôle réglementaire comprendra l’élaboration d’une campagne de sensibilisation des consommateurs et la création d’un registre public regroupant les banques, les coopératives de crédit, les fintechs et les autres fournisseurs de services financiers participants.
Bien que l’ACFC traite les plaintes relatives à l’open banking, chaque organisation participante aura des politiques indépendantes pour traiter les plaintes des consommateurs, explique Parna Sabet-Stephenson. Cela pourrait être similaire au code de conduite du secteur des cartes de paiement au Canada, également sous l’autorité de l’ACFC, qui exige des processus de traitement des plaintes clairs, simples et transparents.
Le gouvernement fédéral choisira une norme technique unique afin que les interfaces de programmation d’applications (API) soient interopérables.
L’adoption de normes similaires à celles des États-Unis aiderait les fintechs à accéder aux données des deux pays, souligne Saba Shariff, première vice-présidente et directrice de la stratégie, des produits et de l’innovation chez Symcor, une société de traitement des paiements à Mississauga, en Ontario. En janvier, le Consumer Financial Protection Bureau des États-Unis a approuvé la demande de la Financial Data Exchange (FDX) de publier des normes bancaires ouvertes.
« Je serais choqué si FDX n’était pas la norme choisie par le Canada », affirme Robert Hayman, soulignant que les États-Unis sont le marché le plus pertinent avec lequel le Canada pourrait vouloir échanger des données.
Mais les institutions financières n’ont pas besoin d’attendre la norme technique finale, précise Saba Shariff. Le risque lié au choix d’une norme pour un projet pilote peut être atténué en travaillant avec un fournisseur de services techniques qui comblera l’écart entre les normes une fois que l’ACFC aura pris une décision.
Quelle que soit l’option choisie par une organisation, il est important de sélectionner une norme existante plutôt que de partir de zéro, recommande Saba Shariff. « Au moins, ils ont sélectionné les meilleures pratiques. […] Même si ce n’est pas à 100 % la norme qui sera choisie au Canada, il n’y a généralement pas de variation massive entre les API. »
Accréditation Fintech et certification technique
Les institutions financières qui souhaitent être accréditées devront présenter à l’ACFC des informations sur les dispositifs de surveillance, la gouvernance, les contrôles de sécurité et de confidentialité et les instruments de responsabilité, entre autres exigences. Les informations clés devront être communiquées régulièrement pour maintenir l’accréditation.
Seules les fintechs, telles que les fournisseurs de technologie qui soutiennent les banques, devront être accréditées, déclare Robert Hayman, qui fait partie du groupe de travail sur l’accréditation des services bancaires ouverts du ministère des Finances. Elles devront démontrer des contrôles de confidentialité et de sécurité, ainsi que leur capacité à indemniser les consommateurs en cas de problème, par le biais d’une couverture d’assurance responsabilité civile.
« Le processus d’accréditation consiste davantage pour le gouvernement à s’assurer que les participants au système ont un certain niveau de sophistication […] et qu’il s’agit d’entités connues si elles sont amenées à recevoir des données sensibles de clients », explique-t-il.
Dans le même temps, les institutions financières et les fintechs devront se soumettre à une certification, prouvant qu’elles respectent la norme technique et sont ouvertes à la réciprocité. Alors que les fintechs consomment généralement des données, les banques en fournissent habituellement, de sorte que toutes les parties impliquées devront envoyer et recevoir des données pour créer des conditions de concurrence équitables, continue Robert Hayman.
Portée des données de la première phase
Dans un premier temps, seules les banques atteignant un volume de ventes au détail spécifique seront tenues de participer, tandis que les autres institutions financières réglementées au niveau fédéral auront la possibilité de choisir leur participation. Les données concernées incluront dans un premier temps des informations sur les comptes chèques et d’épargne, les produits d’investissement disponibles sur les portails en ligne, ainsi que les produits de prêt.
« Il s’agit d’un ensemble assez complet de données pour la première phase », selon Robert Hayman.
Toutes ces données serviront à des applications communes telles que l’agrégation de comptes, la préparation des impôts, l’ouverture de comptes et les outils de gestion des finances personnelles.
Par exemple, les informations sur les comptes pourraient inclure un numéro de compte, le type de produit, le code de la devise, les soldes, l’historique des transactions et les noms des commerçants, suggère Robert Hayman. Dans les phases ultérieures, l’open banking pourrait même inclure des données dérivées telles que la tolérance au risque.
Une question de responsabilité
Le cadre sous-jacent prévoit que la responsabilité suivra les données et incombera à la partie responsable en cas de problème. Les consommateurs ne seront pas tenus responsables des pertes financières encourues à la suite du partage de données.
Mais ce que cela signifie n’est pas suffisamment clair, selon Parna Sabet-Stephenson. Par exemple, les règles ne sont toujours pas claires sur la marche à suivre en cas de violation de données en cours de transmission.
Néanmoins, l’existence d’une structure de responsabilité unique et d’une norme de sécurité définie serait préférable à ce qui existe aujourd’hui, affirme Saba Shariff, évoquant l’inefficacité de laisser les institutions financières prendre des décisions entre elles. L’ouverture des services bancaires permettra de rendre les solutions de responsabilité évolutives à l’échelle du secteur.
« Il n’y aura plus d’incertitude, explique-t-elle. Cela permettrait de déterminer clairement où se situe la responsabilité. »