6^e réunion du groupe de travail sur la responsabilité – Le 14 avril 2023

Le présent guide de discussion est fourni pour aider les membres du groupe de travail à se préparer à la réunion. Il s’agira de la dernière réunion du groupe de travail sur la responsabilité puisque les deux sujets restants seront abordés le 14 avril.

Veuillez adresser vos questions ou vos commentaires à obbo@fin.gc.ca.

Sur cette page :

• Guide de discussion
• Résultats

Guide de discussion

Niveaux de service

La disponibilité des renseignements sous-tendra la croissance et le rendement du système bancaire ouvert au Canada. Afin que les consommateurs profitent pleinement du système et que les participants créent des services, ils doivent être sûrs que les renseignements peuvent être récupérés en temps opportun, et de manière fiable et cohérente. Les mesures de référence soutenant la disponibilité des données peuvent être utiles à cet égard. De plus, la définition de ces mesures peut contribuer à l’uniformité des exigences applicables à tous les participants du système et offrir une mesure de la santé du système qui peut mettre en évidence les domaines à améliorer et fournir des indicateurs clés de mesure du rendement.

Les mesures liées à la disponibilité peuvent être appelées « niveaux de service ». Le concept est connu dans les services financiers où les contrats des fournisseurs de technologie sont complétés par un accord sur les niveaux de service, communément appelé « ANS ». Parmi les points clés abordés par ces accords, on retrouve les niveaux de rendement et les attentes en matière de prestation de services, ainsi que les recours si jamais les attentes ne sont pas respectées.

Bien que ces exigences relatives aux niveaux de service puissent sembler uniquement de nature technique, elles sont également pertinentes dans le contexte de la responsabilité. Lors de la dernière réunion du groupe de travail, la discussion a porté sur la responsabilité entre les participants, à savoir la source de la relation juridique entre eux. Dans le cas de l’Australie, cette question est traitée par le régime du droit relatif aux données des consommateurs (connu sous l’acronyme anglais « CDR », qui désigne « Consumer Data Right »). Il établit un contrat réputé entre les détenteurs de données et les parties accréditées^{Note de bas de page 1} comme fondement de la relation entre eux. Le contenu de ce contrat est décrit dans les normes de données que les parties s’engagent à respecter. Par conséquent, lorsqu’une partie ne respecte pas ses obligations en vertu de la norme, notamment en ce qui concerne les niveaux de service (que le CDR décrit comme des « exigences non fonctionnelles^{Note de bas de page 2} »), un recours judiciaire peut être intenté^{Note de bas de page 3}. Ainsi, les niveaux de service doivent définir les exigences de disponibilité, car ils constituent un élément essentiel de la responsabilité en prescrivant les obligations des parties.

Les « exigences non fonctionnelles » des normes de données du CDR comprennent les éléments suivants :

• Les attentes minimales en matière de disponibilité et de rendement pour les détenteurs de données. Par exemple, des exigences de disponibilité des services s’établissant à 99,5 % par mois, ainsi que les temps de réponse prescrits;
• Les attentes maximales en matière de trafic pour les détenteurs de données qui varient selon que les renseignements sont demandés à un client authentifié ou s’il s’agit de renseignements publics;
• Les restrictions concernant le nombre d’appels d’API que peut effectuer un destinataire de données;
• Les exigences en matière de latence des données^{Note de bas de page 4}, de sorte que les données présentées au moyen des points de terminaison d’API^{Note de bas de page 5} devraient être proportionnelles aux données présentées au moyen d’autres canaux numériques;
• Les exigences relatives à la qualité des données, afin qu’elles soient exactes, à jour et complètes.

Alors que le régime d’échange de données en vertu du cadre du Royaume-Uni ne traite pas explicitement de la responsabilité entre les participants, les exigences relatives aux niveaux de service ont été établies par l’Open Banking Implementation Entity (OBIE), l’organisme chargé de la mise en œuvre. Dans le cadre du document « Open Data Participation Conditions^{Note de bas de page 6} », qui établit les conditions de participation aux données ouvertes, l’OBIE a documenté certains niveaux de service^{Note de bas de page 7} :

• Chaque point de terminaison d’API doit être disponible 95 % du temps pendant chaque période de 24 heures;
• Chaque fournisseur d’API doit se conformer à l’exigence de disponibilité sous une charge maximale de 500 demandes par minute, sur toutes les API du fournisseur en question;
• Chaque fournisseur doit se conformer à l’exigence de disponibilité sous une charge de 15 000 demandes dans un délai de huit heures, sur toutes les API du fournisseur en question;
• Les fournisseurs d’API doivent fournir à l’OBIE un préavis de 60 jours avant la création, la suppression ou la mise à jour d’un point d’extrémité;
• Les fournisseurs d’API peuvent fournir différentes versions pour chaque point d’extrémité d’API. Lorsqu’une version est mise à jour, c’est dans l’espace concurrentiel que les fournisseurs doivent informer les utilisateurs et gérer la migration (sauf pour les problèmes de sécurité);
• Un engagement selon lequel toute modification des données contenues dans un point de terminaison, telle qu’une modification des taux d’intérêt, sera mise à jour dans un délai d’un jour ouvrable ou conformément à l’ordonnance de la Competition and Markets Authority.

Discussion

1. En ce qui concerne les exigences des systèmes australien et britannique, quels sont les éléments du niveau de service qui sont essentiels au succès du système bancaire ouvert du Canada?
2. Quels éléments seraient difficiles à mettre en œuvre?
3. Les exigences relatives aux niveaux de service doivent-elles s’appliquer uniformément? Par ailleurs, certains participants doivent-ils en être dispensés?

Accès réciproque aux données

Dans son rapport final, le Comité consultatif sur le système bancaire ouvert a recommandé que la portée initiale du système comprenne la réciprocité. Cela signifie que tous les participants accrédités au sein d’un système bancaire ouvert seraient également soumis aux demandes de mobilité des données autorisées par les consommateurs. En outre, la réciprocité doit être motivée par le consentement exprès du consommateur et ne doit pas être utilisée par les participants aux marchés comme condition préalable à l’échange de données.

Discussion

1. Quels défis découleraient de la mise en œuvre de la réciprocité entre les participants au système?
2. La réciprocité crée-t-elle un obstacle à l’entrée pour certains participants potentiels? Si oui, comment cet obstacle pourrait-il être contrebalancé?

Résultats

Niveaux de service

Discussion 1

En ce qui concerne les exigences des systèmes australien et britannique, quels sont les éléments du niveau de service qui sont essentiels au succès du système bancaire ouvert du Canada?

• Alors que certains participants mettent en garde contre des exigences détaillées, préférant des obligations générales, telles que l’échange de données selon la portée et les normes techniques, la plupart conviennent que le système bénéficierait de la mise en œuvre de niveaux de service.
• Les justifications de l’inclusion des niveaux de service comprenaient le potentiel d’application de la loi aux participants au système qui ne les respectent pas, ainsi que l’importance que ces paramètres joueront à mesure que le système évoluera vers de nouvelles offres.
• Les participants proposent des mesures de niveau de service liées à la disponibilité, à la latence et à la qualité des données. L’importance de les rendre publiques est également soulignée.
• Quelques participants proposent la parité comme niveau de service, ce qui signifie que les tiers peuvent accéder aux données aux mêmes conditions que les clients.

Discussion 2

Quels éléments seraient difficiles à mettre en œuvre?

• Tout en reconnaissant leur importance dans le système bancaire ouvert, la plupart des participants considèrent la qualité, la disponibilité et la latence des données comme difficiles à mettre en œuvre.
• On propose également de commencer par exiger la parité avec les canaux numériques avant de définir d’autres exigences en matière de niveau de service.

Discussion 3

Les exigences relatives aux niveaux de service doivent-elles s’appliquer uniformément? Par ailleurs, certains participants doivent-ils en être dispensés?

• De l’avis général, les niveaux de service doivent s’appliquer uniformément à tous les participants, avec une mise en garde que certaines mesures doivent tenir compte de la taille et des capacités d’un participant.
  

Accès réciproque aux données

Discussion 1

Quels défis découleraient de la mise en œuvre de la réciprocité entre les participants au système?

• Les principaux défis retenus comprennent les limites de la technologie et des ressources pour les petites organisations.
• Les participants mettent également en garde contre l’incidence sur la réciprocité lorsque la portée du système n’est pas clairement définie.

Discussion 2

La réciprocité crée-t-elle un obstacle à l’entrée pour certains participants potentiels? Si oui, comment cet obstacle pourrait-il être contrebalancé?

• Les participants ne déterminent aucun obstacle à l’entrée découlant de la réciprocité.

Participants au groupe de travail sur la responsabilité