Pour les fintechs, les fournisseurs de services de paiement et les banques, les règlements proposés sur la banque axée sur le consommateur (les Règlements) publiés par le ministère des Finances en vertu de la Loi sur la banque axée sur le consommateur (la LBAC) le 27 juin 2026 offrent un premier aperçu détaillé de ce qu'il faudra pour participer au nouveau régime bancaire ouvert du Canada.
Comme nous l'avons noté dans Fintech au Canada T1 2026, une fois en vigueur, la LBAC et les Règlements proposés établiraient ensemble le cadre bancaire axé sur le consommateur du Canada, qui serait supervisé par la Banque du Canada. Conçus pour amener les systèmes financiers vers un avenir centré sur le consommateur, les règlements proposés visent à responsabiliser les individus et les entreprises en leur donnant plus de contrôle sur leurs données financières.
Les Règlements proposés définissent des exigences détaillées en matière d'accréditation, de sécurité, de sécurité nationale, d'authentification, de consentement, de rapports, de tenue de dossiers, de transparence, de normes techniques, d'évaluations, de responsabilité et de violations. Les principales caractéristiques du régime proposé sont résumées ci-dessous.
Les parties prenantes ont 60 jours pour fournir des commentaires, la période de consultation se terminant le 26 août 2026. Les commentaires peuvent être soumis via le site Web de la Gazette du Canada.
|
Principales implications Les Règlements proposés rapprocheraient le Canada de la mise en œuvre d'un cadre bancaire formel axé sur le consommateur. Les entités souhaitant participer devront évaluer si elles sont admissibles à une accréditation simplifiée ou non simplifiée et se préparer aux exigences de demande prescrites. Les entités participantes devraient s'attendre à des obligations continues en matière de sécurité, de consentement, d'authentification, de tenue de dossiers, de rapports et de niveaux de service. Les organisations susceptibles d'être affectées devraient envisager de revoir les Règlements proposés et de soumettre des commentaires avant la date limite du 26 août 2026. |
Caractéristiques principales des Règlements proposés
Données visées
La LBAC exige que les entités participantes partagent certaines données financières à la demande d'un consommateur. Cela inclut les informations fournies par le consommateur, ainsi que les données sur les produits liés aux comptes de dépôt, aux produits de paiement, aux comptes d'investissement et aux comptes de prêt.
Les Règlements proposés précisent que ces données incluent :
- les informations d'identité du consommateur ;
- les identifiants de produit ou de service tels que le compte, la succursale et le transit ;
- les soldes actuels et passés, y compris les montants dus ;
- les données de transactions terminées, en attente et préautorisées ; et
- les informations sur les produits ou services disponibles pour les consommateurs, y compris les conditions applicables.
Voies d'accréditation
Les Règlements proposés établissent quatre voies d'accréditation, selon le demandeur :
- les institutions financières fédérales et provinciales ;
- les entités enregistrées en vertu de la Loi sur les activités de paiement de détail, qui peuvent être admissibles à une accréditation simplifiée ;
- d'autres entités, qui suivraient un processus d'accréditation non simplifié ; et
- les fournisseurs de services tiers.
Les demandeurs seraient tenus de soumettre les informations prescrites à la Banque via son système électronique et de payer des frais de demande de 2 500 $ CA, ajustés annuellement. Les Règlements proposés incluent également des mécanismes d'appel en cas de refus, de suspension ou de révocation de l'accréditation.
Obligations continues des entités participantes
Les entités participantes seraient soumises à une série d'obligations continues en vertu des Règlements proposés, notamment :
Affichage du signe de participation
Les entités participantes seraient tenues d'afficher un signe indiquant leur participation au cadre bancaire axé sur le consommateur. Le signe doit apparaître à la fois dans les emplacements physiques et numériques et respecter les exigences définies dans les Règlements proposés.
Notification de changement
Les entités participantes seraient tenues de notifier à la Banque les changements qui pourraient avoir affecté le résultat de leur demande d'accréditation si ces changements avaient existé lors de l'examen de la Banque. Cela inclut les changements aux informations soumises lors de l'accréditation et les changements impliquant des fournisseurs de services tiers accrédités. Les changements urgents doivent être signalés dès que possible ; tous les autres changements doivent être signalés dans les 30 jours.
Tenue de dossiers
Les entités participantes seraient tenues de conserver des dossiers suffisants pour démontrer leur conformité à la LBAC et aux Règlements proposés. Les dossiers doivent être conservés électroniquement, dans une forme compréhensible par la Banque, pendant cinq ans, sauf si une autre période s'applique. Les Règlements proposés exigent également des mesures de protection pour éviter la perte, la destruction, la falsification, les inexactitudes et l'accès non autorisé aux dossiers.
Sécurité
Les entités participantes seraient tenues de signaler à la Banque les violations des mesures de sécurité impliquant des données des consommateurs dès que possible. Si une violation crée un risque de préjudice important pour un consommateur, celui-ci doit également être informé, directement ou indirectement. Les entités participantes doivent également rendre compte à la Banque de toute enquête qu'elles mènent sur une violation de sécurité.
Consentement
Les Règlements proposés fournissent des détails supplémentaires sur les obligations liées au consentement, notamment :
- Utilisation des données : Une entité participante peut utiliser les données partagées des consommateurs à des fins différentes de celles initialement consenties uniquement dans des circonstances limitées, telles que des enquêtes légales, des urgences impliquant la vie, la santé ou la sécurité, ou lorsque les données sont publiquement disponibles.
- Enregistrement du consentement : Les entités participantes doivent conserver des enregistrements de consentement explicite et les fournir à la Banque lorsque requis.
- Renouvellement du consentement : Le consentement reste généralement valide pour une durée maximale de 12 mois. Un renouvellement anticipé peut être requis lorsque les informations d'authentification ont été volées ou exposées à un risque imminent, lorsqu'il y a un changement significatif dans les circonstances du consommateur ou lorsqu'il y a un changement significatif dans les circonstances de l'entité participante.
- Suppression des données : Les entités participantes ne sont pas tenues de supprimer les données à la demande d'un consommateur lorsque celui-ci a consenti à l'utilisation de données modifiées qui ont été irréversiblement et définitivement changées de sorte que le consommateur ne peut pas être raisonnablement identifié, directement ou indirectement.
Authentification
Les entités participantes qui fournissent des données seraient tenues d'utiliser des contrôles d'identité et d'accès, y compris l'authentification multifactorielle. Une réauthentification serait requise lorsque le consentement doit être renouvelé.
Partage des données
Avant de partager des données, les entités participantes seraient généralement tenues de confirmer que l'autre entité participante est inscrite au registre de la Banque du Canada et que son statut au registre ne comprend pas de conditions limitant sa capacité à envoyer ou recevoir des données.
Les Règlements proposés permettraient également à une entité participante de refuser une demande initiale de partage de données ou d'arrêter de partager des données malgré un consentement valide du consommateur, dans des circonstances spécifiées. Cela inclut des situations où il existe des motifs raisonnables de croire que le partage des données pourrait causer un préjudice physique, psychologique ou financier au consommateur ; créer des risques pour la sécurité, l'intégrité ou la stabilité du cadre ou des systèmes technologiques d'une entité participante ; ou impliquer un compte qui a été bloqué ou suspendu.
Une entité participante s'appuyant sur ces exceptions serait tenue de notifier à la fois l'autre entité participante impliquée dans la demande et la Banque.
Normes minimales de niveau de service
Les Règlements proposés définissent des attentes de service de base pour les entités participantes. Les points de terminaison de l'interface de programmation d'application devraient être disponibles 99,5 % du temps chaque mois. Les temps de réponse doivent être raisonnables et conformes aux normes généralement acceptées, et les limites de taux ne peuvent être utilisées que pour des raisons de stabilité technique ou de sécurité. Les entités participantes doivent également rendre disponibles au moins 24 mois de données des consommateurs sur demande.
Autres dispositions notables
Les Règlements proposés abordent plusieurs autres questions, notamment :
- Mesures de sécurité nationale : Le ministre des Finances peut examiner les demandeurs et les entités accréditées, ordonner à la Banque de refuser, suspendre ou révoquer l'accès au cadre, et exiger des engagements ou imposer des termes et conditions pour des raisons de sécurité nationale.
- Rapports annuels : Les entités participantes doivent soumettre des rapports annuels à la Banque dans la forme et la manière prescrites.
- Obligations des fournisseurs de services tiers accrédités : Ces fournisseurs doivent respecter certaines obligations liées à la tenue de dossiers, aux notifications de changement et aux notifications de sortie du cadre.
- Organisme de normes techniques : Les Règlements proposés prescrivent les informations qui doivent être incluses dans le rapport annuel de l'organisme de normes techniques à la Banque.
- Privilège de preuve : Certaines informations ne doivent pas être utilisées comme preuve dans des procédures civiles et sont privilégiées à cette fin.
- Frais d'évaluation : Les Règlements proposés créent un régime d'évaluation annuel pour les entités participantes, les fournisseurs de services tiers accrédités et l'organisme de traitement des plaintes externes. Les entités participantes doivent signaler les informations prescrites nécessaires à la Banque pour administrer les frais d'évaluation.
- Violations : Les Règlements proposés identifient les dispositions qui peuvent entraîner des sanctions administratives pécuniaires en cas de violation. La pénalité maximale est de 1 000 000 $ CA pour un individu et de 10 000 000 $ CA pour une entité participante ou un fournisseur de services tiers accrédité.
Contexte politique : Banque axée sur le consommateur et réforme de la vie privée
Le cadre bancaire axé sur le consommateur du Canada n'est pas seulement une initiative de services financiers. Il fait partie d'un changement plus large dans la loi sur la vie privée visant à donner aux gens plus de contrôle sur leurs informations personnelles— y compris la capacité de déplacer ces informations en toute sécurité d'une organisation à une autre.
Cette idée est souvent appelée mobilité des données. En termes simples, cela signifie que les individus devraient pouvoir demander à une organisation de partager leurs informations avec une autre organisation de manière sécurisée et standardisée. Le Québec a déjà fait un pas dans cette direction avec la Loi 25, qui a introduit un droit de mobilité des données entré en vigueur en septembre 2024. Au niveau fédéral, l'accent est maintenant mis sur la création de cadres pratiques qui peuvent rendre la mobilité des données fonctionnelle dans des secteurs spécifiques. La banque axée sur le consommateur est la première application sectorielle de ce changement vers la mobilité des données.
En vertu de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), la loi fédérale actuelle sur la vie privée dans le secteur privé, les individus n'ont pas eu de moyen clair et cohérent d'exiger qu'une organisation transfère leurs informations personnelles à une autre. Les récents efforts de réforme de la vie privée visent à changer cela en soutenant un droit de portabilité des données plus large. Mais ce droit nécessite plus que des formulations juridiques— il nécessite également des systèmes approuvés, des règles communes et des normes techniques sécurisées.
La banque axée sur le consommateur devrait être le premier cadre fédéral majeur à mettre cette idée en œuvre. Dans le secteur financier, le cadre permettrait aux consommateurs de partager des données financières en toute sécurité avec des organisations participantes, sous réserve de règles concernant le consentement, la sécurité, l'accréditation, la responsabilité et la supervision.
Le projet de loi C-36 ferait avancer la réforme fédérale de la vie privée. Introduit en première lecture le 15 juin 2026, il adopterait la Loi sur la protection de la vie privée et des données des consommateurs (LPVDC) proposée et remplacerait les dispositions sur la vie privée de la LPRPDE par une loi modernisée sur la vie privée dans le secteur privé.
Pour la banque axée sur le consommateur, l'une des caractéristiques les plus importantes de la LPVDC est le droit de mobilité des données proposé. S'il est adopté, les individus pourraient demander à une organisation de divulguer les informations personnelles collectées auprès d'eux à une autre organisation de leur choix— mais uniquement lorsque les deux organisations sont soumises à un cadre de mobilité des données.
La législation sur la vie privée et le cadre bancaire sont conçus pour fonctionner ensemble. La loi sur la vie privée créerait le droit légal de l'individu de déplacer des informations personnelles. Le cadre bancaire axé sur le consommateur fournirait le système pratique pour le faire dans le secteur des services financiers.
Cette connexion est importante car la mobilité des données n'est utile que si elle peut être fiable. Les consommateurs doivent avoir confiance que leurs informations seront partagées uniquement avec leur consentement, via des canaux sécurisés, et avec des organisations soumises à une supervision appropriée.
Une complication importante est que la loi sur la vie privée et la banque axée sur le consommateur ne se concentrent pas exactement sur la même chose. La loi sur la vie privée concerne principalement les informations personnelles sur les individus identifiables. Le régime bancaire axé sur le consommateur, cependant, s'applique aux “consommateurs”, ce qui peut inclure à la fois des individus et certaines entreprises.
Cela signifie que les participants devront comprendre quelles obligations découlent du fait que des informations personnelles sont impliquées, et quelles obligations découlent du fait que des données financières d'entreprise relèvent du cadre bancaire axé sur le consommateur. Cette distinction peut être particulièrement importante pour les comptes d'entreprise qui incluent des informations personnelles sur les propriétaires, les employés, les garants ou d'autres individus.
Pour les organisations participant à la banque axée sur le consommateur, ce n'est pas seulement un exercice de conformité bancaire. C'est aussi un exercice de conformité à la vie privée. Les processus de consentement, les contrôles de sécurité et les procédures de réponse aux violations devraient être alignés sur les deux régimes.
Les organisations devraient également continuer à surveiller le projet de loi C-36 à mesure qu'il progresse au Parlement. Le projet de loi en est à un stade précoce, et la version finale pourrait différer du texte introduit en première lecture.
Points clés à retenir
Bien que la LBAC et les Règlements proposés ne soient pas encore en vigueur, ils représentent une étape importante vers la banque ouverte au Canada. Ils s'alignent également sur l'engagement du gouvernement dans la mise à jour économique du printemps 2026 à faire avancer des initiatives visant à promouvoir la concurrence et à aider à réduire les coûts financiers pour les Canadiens.
Les organisations susceptibles de participer, de dépendre ou d'être affectées par le cadre devraient examiner attentivement les Règlements proposés et envisager de soumettre des commentaires pendant la période de consultation.
La Banque devrait également élaborer des lignes directrices qui clarifieront davantage les exigences en vertu de la LBAC et des Règlements proposés. Ces lignes directrices devraient fournir des informations supplémentaires sur les obligations pratiques des entités participantes.
Pour plus d'informations, ou pour discuter de la manière dont les Règlements proposés pourraient affecter votre organisation, veuillez nous contacter.


















