Bennett JonesPerspective Le Canada fait avancer le cadre bancaire axé sur le consommateur avec des réglementations proposéesAdam W. Taylor, Matthew Flynn et Simon Grant 8 juillet 2026 ![]() Auteur(e)s Adam W. TaylorAssocié Matthew FlynnAssocié Simon GrantAssocié Pour les fintechs, les fournisseurs de services de paiement et les banques, les règlements proposés sur la banque axée sur le consommateur (les Règlements) publiés par le ministère des Finances en vertu de la Loi sur la banque axée sur le consommateur (la LBAC) le 27 juin 2026 offrent un premier aperçu détaillé de ce qu'il faudra pour participer au nouveau régime bancaire ouvert du Canada. Comme nous l'avons noté dans Fintech au Canada T1 2026, une fois en vigueur, la LBAC et les Règlements proposés établiraient ensemble le cadre bancaire axé sur le consommateur du Canada, qui serait supervisé par la Banque du Canada. Conçus pour amener les systèmes financiers vers un avenir centré sur le consommateur, les règlements proposés visent à responsabiliser les individus et les entreprises en leur donnant plus de contrôle sur leurs données financières. Les Règlements proposés définissent des exigences détaillées en matière d'accréditation, de sécurité, de sécurité nationale, d'authentification, de consentement, de rapports, de tenue de dossiers, de transparence, de normes techniques, d'évaluations, de responsabilité et de violations. Les principales caractéristiques du régime proposé sont résumées ci-dessous. Les parties prenantes ont 60 jours pour fournir des commentaires, la période de consultation se terminant le 26 août 2026. Les commentaires peuvent être soumis via le site Web de la Gazette du Canada.
Caractéristiques principales des Règlements proposésDonnées viséesLa LBAC exige que les entités participantes partagent certaines données financières à la demande d'un consommateur. Cela inclut les informations fournies par le consommateur, ainsi que les données sur les produits liés aux comptes de dépôt, aux produits de paiement, aux comptes d'investissement et aux comptes de prêt. Les Règlements proposés précisent que ces données incluent :
Voies d'accréditationLes Règlements proposés établissent quatre voies d'accréditation, selon le demandeur :
Les demandeurs seraient tenus de soumettre les informations prescrites à la Banque via son système électronique et de payer des frais de demande de 2 500 $ CA, ajustés annuellement. Les Règlements proposés incluent également des mécanismes d'appel en cas de refus, de suspension ou de révocation de l'accréditation. Obligations continues des entités participantesLes entités participantes seraient soumises à une série d'obligations continues en vertu des Règlements proposés, notamment : Affichage du signe de participationLes entités participantes seraient tenues d'afficher un signe indiquant leur participation au cadre bancaire axé sur le consommateur. Le signe doit apparaître à la fois dans les emplacements physiques et numériques et respecter les exigences définies dans les Règlements proposés. Notification de changementLes entités participantes seraient tenues de notifier à la Banque les changements qui pourraient avoir affecté le résultat de leur demande d'accréditation si ces changements avaient existé lors de l'examen de la Banque. Cela inclut les changements aux informations soumises lors de l'accréditation et les changements impliquant des fournisseurs de services tiers accrédités. Les changements urgents doivent être signalés dès que possible ; tous les autres changements doivent être signalés dans les 30 jours. Tenue de dossiersLes entités participantes seraient tenues de conserver des dossiers suffisants pour démontrer leur conformité à la LBAC et aux Règlements proposés. Les dossiers doivent être conservés électroniquement, dans une forme compréhensible par la Banque, pendant cinq ans, sauf si une autre période s'applique. Les Règlements proposés exigent également des mesures de protection pour éviter la perte, la destruction, la falsification, les inexactitudes et l'accès non autorisé aux dossiers. SécuritéLes entités participantes seraient tenues de signaler à la Banque les violations des mesures de sécurité impliquant des données des consommateurs dès que possible. Si une violation crée un risque de préjudice important pour un consommateur, celui-ci doit également être informé, directement ou indirectement. Les entités participantes doivent également rendre compte à la Banque de toute enquête qu'elles mènent sur une violation de sécurité. ConsentementLes Règlements proposés fournissent des détails supplémentaires sur les obligations liées au consentement, notamment :
AuthentificationLes entités participantes qui fournissent des données seraient tenues d'utiliser des contrôles d'identité et d'accès, y compris l'authentification multifactorielle. Une réauthentification serait requise lorsque le consentement doit être renouvelé. Partage des donnéesAvant de partager des données, les entités participantes seraient généralement tenues de confirmer que l'autre entité participante est inscrite au registre de la Banque du Canada et que son statut au registre ne comprend pas de conditions limitant sa capacité à envoyer ou recevoir des données. Les Règlements proposés permettraient également à une entité participante de refuser une demande initiale de partage de données ou d'arrêter de partager des données malgré un consentement valide du consommateur, dans des circonstances spécifiées. Cela inclut des situations où il existe des motifs raisonnables de croire que le partage des données pourrait causer un préjudice physique, psychologique ou financier au consommateur ; créer des risques pour la sécurité, l'intégrité ou la stabilité du cadre ou des systèmes technologiques d'une entité participante ; ou impliquer un compte qui a été bloqué ou suspendu. Une entité participante s'appuyant sur ces exceptions serait tenue de notifier à la fois l'autre entité participante impliquée dans la demande et la Banque. Normes minimales de niveau de serviceLes Règlements proposés définissent des attentes de service de base pour les entités participantes. Les points de terminaison de l'interface de programmation d'application devraient être disponibles 99,5 % du temps chaque mois. Les temps de réponse doivent être raisonnables et conformes aux normes généralement acceptées, et les limites de taux ne peuvent être utilisées que pour des raisons de stabilité technique ou de sécurité. Les entités participantes doivent également rendre disponibles au moins 24 mois de données des consommateurs sur demande. Autres dispositions notablesLes Règlements proposés abordent plusieurs autres questions, notamment :
Contexte politique : Banque axée sur le consommateur et réforme de la vie privéeLe cadre bancaire axé sur le consommateur du Canada n'est pas seulement une initiative de services financiers. Il fait partie d'un changement plus large dans la loi sur la vie privée visant à donner aux gens plus de contrôle sur leurs informations personnelles— y compris la capacité de déplacer ces informations en toute sécurité d'une organisation à une autre. Cette idée est souvent appelée mobilité des données. En termes simples, cela signifie que les individus devraient pouvoir demander à une organisation de partager leurs informations avec une autre organisation de manière sécurisée et standardisée. Le Québec a déjà fait un pas dans cette direction avec la Loi 25, qui a introduit un droit de mobilité des données entré en vigueur en septembre 2024. Au niveau fédéral, l'accent est maintenant mis sur la création de cadres pratiques qui peuvent rendre la mobilité des données fonctionnelle dans des secteurs spécifiques. La banque axée sur le consommateur est la première application sectorielle de ce changement vers la mobilité des données. En vertu de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), la loi fédérale actuelle sur la vie privée dans le secteur privé, les individus n'ont pas eu de moyen clair et cohérent d'exiger qu'une organisation transfère leurs informations personnelles à une autre. Les récents efforts de réforme de la vie privée visent à changer cela en soutenant un droit de portabilité des données plus large. Mais ce droit nécessite plus que des formulations juridiques— il nécessite également des systèmes approuvés, des règles communes et des normes techniques sécurisées. La banque axée sur le consommateur devrait être le premier cadre fédéral majeur à mettre cette idée en œuvre. Dans le secteur financier, le cadre permettrait aux consommateurs de partager des données financières en toute sécurité avec des organisations participantes, sous réserve de règles concernant le consentement, la sécurité, l'accréditation, la responsabilité et la supervision. Le projet de loi C-36 ferait avancer la réforme fédérale de la vie privée. Introduit en première lecture le 15 juin 2026, il adopterait la Loi sur la protection de la vie privée et des données des consommateurs (LPVDC) proposée et remplacerait les dispositions sur la vie privée de la LPRPDE par une loi modernisée sur la vie privée dans le secteur privé. Pour la banque axée sur le consommateur, l'une des caractéristiques les plus importantes de la LPVDC est le droit de mobilité des données proposé. S'il est adopté, les individus pourraient demander à une organisation de divulguer les informations personnelles collectées auprès d'eux à une autre organisation de leur choix— mais uniquement lorsque les deux organisations sont soumises à un cadre de mobilité des données. La législation sur la vie privée et le cadre bancaire sont conçus pour fonctionner ensemble. La loi sur la vie privée créerait le droit légal de l'individu de déplacer des informations personnelles. Le cadre bancaire axé sur le consommateur fournirait le système pratique pour le faire dans le secteur des services financiers. Cette connexion est importante car la mobilité des données n'est utile que si elle peut être fiable. Les consommateurs doivent avoir confiance que leurs informations seront partagées uniquement avec leur consentement, via des canaux sécurisés, et avec des organisations soumises à une supervision appropriée. Une complication importante est que la loi sur la vie privée et la banque axée sur le consommateur ne se concentrent pas exactement sur la même chose. La loi sur la vie privée concerne principalement les informations personnelles sur les individus identifiables. Le régime bancaire axé sur le consommateur, cependant, s'applique aux “consommateurs”, ce qui peut inclure à la fois des individus et certaines entreprises. Cela signifie que les participants devront comprendre quelles obligations découlent du fait que des informations personnelles sont impliquées, et quelles obligations découlent du fait que des données financières d'entreprise relèvent du cadre bancaire axé sur le consommateur. Cette distinction peut être particulièrement importante pour les comptes d'entreprise qui incluent des informations personnelles sur les propriétaires, les employés, les garants ou d'autres individus. Pour les organisations participant à la banque axée sur le consommateur, ce n'est pas seulement un exercice de conformité bancaire. C'est aussi un exercice de conformité à la vie privée. Les processus de consentement, les contrôles de sécurité et les procédures de réponse aux violations devraient être alignés sur les deux régimes. Les organisations devraient également continuer à surveiller le projet de loi C-36 à mesure qu'il progresse au Parlement. Le projet de loi en est à un stade précoce, et la version finale pourrait différer du texte introduit en première lecture. Points clés à retenirBien que la LBAC et les Règlements proposés ne soient pas encore en vigueur, ils représentent une étape importante vers la banque ouverte au Canada. Ils s'alignent également sur l'engagement du gouvernement dans la mise à jour économique du printemps 2026 à faire avancer des initiatives visant à promouvoir la concurrence et à aider à réduire les coûts financiers pour les Canadiens. Les organisations susceptibles de participer, de dépendre ou d'être affectées par le cadre devraient examiner attentivement les Règlements proposés et envisager de soumettre des commentaires pendant la période de consultation. La Banque devrait également élaborer des lignes directrices qui clarifieront davantage les exigences en vertu de la LBAC et des Règlements proposés. Ces lignes directrices devraient fournir des informations supplémentaires sur les obligations pratiques des entités participantes. Pour plus d'informations, ou pour discuter de la manière dont les Règlements proposés pourraient affecter votre organisation, veuillez nous contacter. Demandes de republication Pour obtenir la permission de republier cette publication ou toute autre publication, contactez Erica Wirthlin à wirthline@bennettjones.com. À titre informatif uniquement Cette publication fournit un aperçu des tendances et des mises à jour juridiques à titre informatif uniquement. Pour des conseils juridiques personnalisés, veuillez contacter les auteurs. Auteur(e)sAdam W. Taylor, Associé Toronto • 416.777.5515 • taylorad@bennettjones.com Matthew Flynn, Associé Toronto • 416.777.7488 • flynnm@bennettjones.com Simon Grant, Associé Toronto • 416.777.6246 • grants@bennettjones.com | |
Bennett Jones