Le mois de novembre soulignait les noces d’argent de l’entrée en vigueur de la Loi sur la protection des renseignements personnels dans le secteur privé, soit son 25e anniversaire, « mais aussi le fait que cette dernière est archaïque », lance ainsi le directeur de la surveillance à la Commission d’accès à l’information, Richard Guay, lors d’un panel sur les données bancaires ouvertes au Rendez-vous avec l’Autorité des marchés financiers.
Le Québec est devenu la première province canadienne et la première juridiction en Amérique du Nord à assurer la protection des renseignements personnels dans les secteurs public et privé, en 1994, mais pourrait se retrouver dans de beaux draps avec l’apparition des systèmes bancaires ouverts si la loi actuelle reste inchangée et que le consommateur n’est pas davantage conscientisé.
« On a besoin de nouvelles lois pour être capable d’évoluer convenablement », dit François Lafortune, membre des comités consultatifs sur les innovations technologiques de l’Autorité et sur les systèmes bancaires ouverts, du ministère des Finances du Canada.
Loi désuète et défi nouveau genre
« Avant de continuer de développer sur le numérique, c’est important d’avoir des lois modernisées pour s’assurer que les mesures de protection sont là, que les chiens de garde ont les outils pour le faire et que les entreprises qui se joignent au mouvement soient responsabilisées correctement », explique M. Guay. Cela représenterait la première étape de l’ouverture des marchés.
Le fait est « qu’on est dans un défi de consentement avec l’open banking », dit M. Lafortune. D’autant plus que tous les panellistes sont d’avis que les formulaires de consentement en ligne ne fonctionnent pas et ne sont pas suffisants pour assurer la protection des données des consommateurs. Plus les formulaires de consentement sont longs, disent-ils, plus les gens s’empressent de donner leur accord sans avoir lu les conditions. Et la grande majorité des fraudes s’effectuent alors que les gens ont consenti au partage de leurs données, comme ce fut le cas dans l’affaire Cambridge Analytica.
« Trop de consentement, ce n’est comme pas de consentement », tranche Bernard Brun, responsable du développement des relations et des interventions du Mouvement Desjardins auprès des gouvernements.
« Il faudrait penser à inclure la possibilité de révoquer son consentement, ne pas accepter que ses données puissent être emmagasinées », dit M. Lafortune.
« Il faut aussi penser à la façon dont les données sont collectées, leur durée de vie et la manière dont elles sont communiquées, mais surtout s’assurer que les gens comprennent la notion du consentement, ajoute M. Guay. La solution n’est toutefois pas dans la lutte contre l’achat en ligne. On ne peut pas lutter contre l’avenir, mais on doit mettre des balises et mieux encadrer le partage de données. »
« L’open banking existe déjà d’une certaine façon : il y a déjà une ouverture, il y a déjà du partage de données qui s’effectue et même parfois de façon non encadrée. La question est : de quelle manière peut-on mettre en place un système bancaire ouvert de façon structuré et encadré ? Savoir que les éléments qui ne font pas partie de l’écosystème financier, on ne les échappe pas. Comment peut-on les ramener et comment peut-on se préparer à évoluer ? », se demande M. Brun.
Le Canada à la bourre ?
« Les clients sont allés plus vite que les institutions financières » quant au partage de leurs données bancaires, notamment avec les fintechs, estime M. Lafortune. Mais il y a un « danger d’être derrière la parade du point de vue de l’open banking et de ne pas s’adapter rapidement et de penser qu’on est protégé. Du côté des médias, on croyait que le CRTC allait protéger le contenu canadien, mais en définitive, le consommateur se fiche un peu de ne pas en avoir sur son compte Netflix. Dans 10 ans, si on ne fait pas attention, c’est la même situation qui risque de se produire avec nos institutions bancaires », prévient M. Lafortune.
« Est-ce qu’on devrait permettre de faire cet échange d’information en laissant le marché créer des ententes bilatérales entre les institutions, dit-il, ou on devrait plutôt avoir un système d’accréditation qui s’assure que les institutions qui participent sont accréditées et sécuritaires, et ce, sans qu’il y ait d’entente bilatérale au préalable entre les institutions ? Par exemple, le client pourrait n’avoir qu’à demander que Desjardins partage ses données avec Banque Nationale, et parce que le client en fait la demande, parce qu’il utilise le bon protocole, que le consentement est là, cette transaction devrait avoir lieu », s’est-il questionné.
« Il y a une forte pression commerciale et un enjeu stratégique pour le Canada, actuellement de se positionner en faveur de l’open banking. Reste à savoir dans quel cadre on veut le développer », dit Patrick Migneault, membre du Comité consultatif des consommateurs de produits et utilisateurs de services financiers de l’Autorité.
« Qu’est-ce qu’on doit mettre en place en place pour s’assurer de la protection des données ? Actuellement, il est question des comptes-courants, mais la question de l’assurance demeure en suspens. Et ensuite ce serait la gouvernance des données et la question des standards de sécurité qu’on veut mettre en place. C’est déjà un défi pour la banque d’assurer la sécurité, mais quelle en serait l’ampleur, maintenant qu’on y ajoute des joueurs ? Un système est toujours aussi efficace que son maillon le plus faible », dit-il.
« Il faut encadrer le Far West »
« Niveau sécurité, il n’y a à peu près rien de moins sécuritaire », tranche François Lafortune. Le président de Diagram croit qu’il serait pertinent de prendre du recul et de constater les bons comme les mauvais coups qui ont été faits jusqu’à présent et de se demander ce qu’il ne faut absolument pas reproduire.
Les panellistes croient qu’il serait important de renforcer l’encadrement dans la littératie technologique, sans oublier l’aspect générationnel. « Les jeunes sont peut-être trop ouverts à partager leurs données, tandis qu’on devrait sensibiliser les personnes plus âgées au fait que ce n’est pas si dangereux de les partager avec les institutions bancaires », soulève M. Migneault.
« En ayant de nouveaux tiers, qui viendrait compléter les institutions financières, qui elles doivent être encadrer par le Bureau du surintendant des institutions financières (BSIF) ou par une autorité provinciale, par qui elles seraient encadrées ? », demande M. Migneault en donnant comment exemple la Grande-Bretagne qui a mis en place une entité distincte pour encadrer les fintechs quant aux pratiques à adopter.
« Qui seraient les participants à l’Open Banking canadien ? Est-ce que les nouvelles entités auraient droit aux API des banques ? Est-ce que la participation des banques serait obligatoire ou encore facultative ? Quels sont les produits visés ? », questionne-t-il.
Choisir entre la commodité ou la sécurité
Actuellement, « il y a des choses qui sont commodes auxquelles les gens veulent avoir accès et en profiter, mais s’ils le font, c’est au détriment de la sécurité, parce qu’ils contreviennent à leur entente contractuelle avec leur institution ou tout simplement parce qu’ils s’exposent à des joueurs qui ne sont pas encadrés », dit M. Brun.
L’enjeu au niveau des renseignements personnels réside dans la façon dont ils sont utilisés et communiqués. « On ne peut pas être contre la vertu. L’idée est d’avoir des filets de sécurité, mais de ne pas attendre qu’il arrive quelque chose. [Quand il est question de renseignements personnels], il faut se préparer et s’assurer que la collecte, le cycle de vie, mais aussi, que la communication soit faite de façon adéquate, mais surtout que les consommateurs comprennent le consentement », ajoute Richard Guay.
« On est tous pour l’innovation, mais il faut faire attention aux GAFA (Google, Amazon, Facebook, Apple), prévient Bernard Brun, et ce, même s’ils sont absents des tribunes et des consultations. Nos institutions financières si grosses soient-elles au Canada, sont relativement petites face aux GAFA. S’ils décident de débarquer, ils vont pouvoir voir les structures de couts et offrir [leurs services] avec une apparence de gratuité et toute sorte de développement parce que leur modèle d’affaires permet de le faire. Ils sont capables d’aller chercher tout un paquet de données financières, notamment sur les habitudes de consommation, de vie et sur la segmentation. Ce sont des aspects qui entrent dans l’équation et l’erreur serait de ne pas les prendre en considération. Il ne faudrait pas se limiter à règlementer uniquement les institutions financières », poursuit-il.
En accord, Richard Guay estime que « l’information est l’or du futur et la personne qui contrôle l’information possède un énorme pouvoir ». C’est pourquoi « il faut que toutes les actions soient faites de concert pour que ça fonctionne », dit Hélène Samson, directrice de l’encadrement prudentiel des institutions financières à l’Autorité et animatrice du panel.
« Quand on parle d’open banking, c’est important de le faire en regard de l’ensemble du système financier. Il faut également prendre en compte que notre écosystème financier est dans une fédération, donc il est partagé et il y a beaucoup d’ententes qui doivent être prises. On attend avec impatience la deuxième étape, bien que cela ait ralenti avec le processus électoral », termine M. Brun en saluant le travail de consultation l’Autorité.