Dans notre monde hyperconnecté, l’importance de l’intégration est indéniable. Tout, des calendriers aux suites de productivité que nous utilisons quotidiennement, semble supporter une quantité infinie d’intégrations.
Pourtant, au Canada, le secteur bancaire et l’ensemble des services financiers ont été lents à s’adapter à cette tendance. Mais avec l’arrivée de la banque ouverte au Canada, un changement se profile à l’horizon.
Les bases de la banque ouverte
Les services bancaires ouverts reposent sur le partage de données normalisées par l’intermédiaire d’interfaces de programmation (API). Il vise à renforcer l’intégrité et la sécurité des données pour les organisations de services financiers tout en encourageant l’innovation, en promouvant une concurrence saine et en permettant aux clients des services bancaires d’exercer un plus grand contrôle sur leurs données financières.
Le système bancaire ouvert n’est pas sans poser de problèmes, qu’il s’agisse des coûts, de la complexité ou de la conformité aux réglementations.
Comme le Canada a commencé à travailler à la mise en œuvre des services bancaires ouverts en 2020, vous devrez vous préparer à relever ces défis le plus tôt possible. La bonne nouvelle, c’est que même si les services bancaires ouverts sont un développement relativement récent pour le secteur des services financiers canadien, d’autres pays ont mis en place des réglementations depuis des années.
En examinant la façon dont certains de ces pays ont abordé le système bancaire ouvert, nous pouvons avoir une meilleure idée de ce à quoi nous devons nous attendre ici.
Le système bancaire ouvert au Royaume-Uni
Le Royaume-Uni est largement considéré comme le pays qui a mené la charge en matière du système bancaire ouvert.
En 2016, l’Autorité de la concurrence et des marchés a publié un rapport sur la stagnation du marché bancaire du pays. La même année, le pays a exigé de ses neuf plus grandes banques qu’elles financent et mettent en place l’entité indépendante Open Banking Implementation Entity (OBIE), l’organisme chargé de la mise en œuvre.
Composée d’experts du secteur et de représentants des consommateurs, l’OBIE avait pour mission de :
- Créer une feuille de route garantissant que les principales banques britanniques mettent en œuvre le système bancaire ouvert dans les délais impartis.
- Élaborer des normes techniques et de sécurité pour le partage des données et des services de paiement avec des fournisseurs tiers.
- Collaborer avec les banques pour développer et mettre en œuvre des API basées sur ces normes.
- Travailler en étroite collaboration avec les régulateurs pour s’assurer que toutes les normes et tous les contrôles sont conformes à la législation existante en matière de consentement des clients, de protection de la vie privée et de protection des données.
Les efforts de l’OBIE ont finalement abouti à l’élaboration de la norme sur le système bancaire ouvert (Open Banking Standard) en 2017. Basée sur les principes établis dans la deuxième directive sur les services de paiement (DSP2) de l’Union européenne, la norme s’est avérée essentielle pour guider le développement mondial de la banque ouverte. Elle fonctionne comme suit :
- Un client peut donner son consentement explicite pour que des fournisseurs tiers accèdent à ses données financières, que ce soit en ligne ou par le biais d’une appli bancaire.
- Les fournisseurs tiers doivent s’enregistrer auprès de l’OBIE, ce qui leur permet de demander l’accès aux données du client par le biais de l’une des API normalisées.
- Une fois que la banque a authentifié le client et validé son consentement, elle partage les données de ce client.
- Le tiers peut alors utiliser les données du client pour fournir un certain nombre de services financiers différents.
En janvier 2023, six des neuf principaux fournisseurs de services bancaires du pays auront mis en œuvre toutes les exigences de la feuille de route. Six millions de personnes utilisent aujourd’hui activement les services bancaires ouverts au Royaume-Uni, tandis que plus de 200 entreprises et 70 fournisseurs de comptes proposent des produits et des services basés sur les services bancaires ouverts. En même temps, le paysage global du secteur financier britannique a relativement peu changé, les grandes institutions détenant toujours la majorité du marché.
Il est également important de noter que le Royaume-Uni n’a pas poussé à l’adoption aussi fortement que d’autres pays, car il court maintenant le risque d’être dépassé par les pays qui ont à l’origine imité sa norme du système bancaire ouvert.
Le système bancaire ouvert dans l’Union européenne
Ce n’est un secret pour personne que l’Union européenne est à l’avant-garde de la législation axée sur les consommateurs. D’une manière indirecte, le système bancaire ouvert ne fait pas exception à la règle. Après tout, la norme britannique sur le système bancaire ouvert a été élaborée en tandem avec un texte législatif européen – la directive révisée sur les services de paiement (DSP2), introduite pour la première fois en 2015 – et s’en inspire largement. Développée comme un amendement à la directive originale sur les services de paiement, qui a été introduite en 2007, la DSP2 a spécifiquement ciblé les services de paiement électronique.
La réglementation a commencé à entrer en vigueur en 2018, entraînant les changements suivants sur le marché des services de paiement :
- Les banques sont désormais tenues d’ouvrir leurs services de paiement à des prestataires de services de paiement tiers, ce qui permet le développement de nouveaux services de paiement.
- Tous les fournisseurs de services doivent mettre en œuvre une authentification forte du client pour les paiements électroniques et les options bancaires, ce qui signifie que les transactions doivent être authentifiées par au moins deux des facteurs suivants, chacun indépendant de l’autre :
- Un mot de passe, un code NIP ou une clé de sécurité.
- Un système ou un dispositif spécifique.
- Des données biométriques, telles qu’une empreinte digitale ou un scan de reconnaissance faciale.
- Les numéros de carte de crédit, les dates d’expiration et les CVV ne sont plus des facteurs d’authentification valables.
- Les utilisateurs finaux peuvent désormais effectuer des paiements en ligne via un compte bancaire sans avoir besoin d’une carte de crédit.
- Pour accéder aux informations bancaires d’un client, un fournisseur de paiement tiers doit obtenir son consentement explicite. Si le fournisseur a donné son accord, la banque doit lui permettre d’accéder aux données.
- Les clients ont droit à un remboursement inconditionnel dans les huit semaines suivant une opération de prélèvement effectuée par l’intermédiaire du SEPA, le réseau de paiement intégré de l’UE.
- Les prestataires de services de paiement doivent être agréés par les autorités de régulation nationales au sein de l’UE.
L’impact de la DSP2 sur le paysage des services de paiement, dont les banques sont des acteurs majeurs, a été largement positif. Elle a permis d’accroître considérablement la concurrence et l’innovation sur le marché, et a contribué à orienter les réglementations relatives à la protection de la vie privée et à la propriété dans les services financiers. Toutefois, la DSP2 a également été critiquée pour son coût et sa complexité pour les petits prestataires de services de paiement.
Le système bancaire ouvert au Brésil
L’approche brésilienne du système bancaire ouvert a été beaucoup plus agressive que celle d’autres pays. Tout d’abord, la Banque centrale du Brésil a opté pour une feuille de route de mise en œuvre d’un an. Introduite dans le cadre d’une aide plus large, cette feuille de route se compose de quatre phases distinctes :
- Phase 1. Les institutions financières normalisent la manière dont elles stockent, fournissent et gèrent leurs données, et tous les produits, services, coûts et canaux de service sont rendus publics.
- Phase 2. Les clients peuvent partager leurs données avec les institutions et les prestataires de services de leur choix.
- Phase 3. Les clients peuvent accéder aux services financiers sans avoir besoin d’accéder directement au canal par lequel ces services sont fournis.
- Phase 4. Les clients peuvent désormais accéder à des produits et services financiers non bancaires.
Le Brésil a terminé le déploiement du système bancaire ouvert en décembre 2021. Bien que les réglementations brésiliennes en matière de services bancaires ouverts soient similaires à celles d’autres cadres, elles s’en distinguent également sur quelques points essentiels.
- Plutôt qu’une entité ou un comité privé, les exigences réglementaires et le plan de mise en œuvre du cadre brésilien de services bancaires ouverts ont été élaborés par la Banque centrale du pays.
- La Banque centrale du Brésil gère une plateforme consolidée à travers laquelle elle gère et facilite le partage de données entre les institutions financières et les fournisseurs tiers.
- Le cadre brésilien de banque ouverte comporte des mandats et des exigences plus stricts en matière de cryptage, car la législation a été introduite en même temps que la nouvelle loi brésilienne sur la protection des données, qui est elle-même le reflet de la loi européenne.
Bien que le système bancaire ouvert brésilien soit encore relativement récent, ses détracteurs ont exprimé de sérieuses inquiétudes quant aux risques de sécurité qu’il pourrait engendrer. Dans ce pays, les prestataires de services de paiement tiers ne sont généralement pas soumis aux mêmes normes de sécurité qu’ailleurs. La désagrégation des services aggrave encore ce problème, car les banques auront moins de visibilité sur l’activité des clients et seront donc moins à même d’identifier et de réprimer les activités suspectes.
La banque ouverte en Inde
En tant que pays comptant l’une des plus grandes populations de personnes sous-bancarisées au monde, le système bancaire ouvert a le potentiel d’être particulièrement bénéfique pour l’Inde. Géré par la Reserve Bank of India, le cadre de la banque ouverte du pays fait lui-même partie d’une initiative plus large connue collectivement sous le nom d’India Stack. Il s’agit essentiellement d’une collection d’API destinées à moderniser le secteur des services financiers indiens, le India Stack est composé :
- D’un système de paiement interopérable
- D’identifiants numériques universels.
- De normes pour faciliter les transactions entre les banques, les entreprises de technologie financière et les portefeuilles numériques.
- D’un accès aux données financières basé sur la confiance.
Bien que la plupart des adultes indiens possèdent leur propre compte bancaire, les banques commerciales ne travaillent qu’avec les 100 millions de personnes les plus riches du pays, laissant 800 millions de personnes sans accès à des services tels que la gestion de patrimoine, l’assurance et les prêts. Le système bancaire ouvert promet de résoudre ce problème en réduisant le coût d’acquisition des clients à un niveau proche de zéro. Cela donnera un élan massif au secteur financier du pays.
Actuellement, l’initiative indienne de banque ouverte est encore en cours de développement et le pays n’a cessé d’affiner son approche au cours des dernières années. Comme c’est le cas au Brésil, la cybersécurité représente un défi important pour le système bancaire ouvert en Inde. À cette fin, la RBI a adopté une approche stricte en matière d’exigences et de contrôles techniques, mais il reste à voir dans quelle mesure cette approche sera efficace.
Le système bancaire ouvert en Australie
L’Australie a introduit le système bancaire ouvert dans le cadre du Consumer Data Right (CDR), un cadre réglementaire très large qui permet aux consommateurs d’être davantage propriétaires de leurs données tout en les partageant avec des fournisseurs de services tiers. Le CDR ne s’applique pas seulement au secteur des services financiers, mais aussi à l’énergie et aux télécommunications.
Le CDR permet aux consommateurs d’accéder directement à leurs données et aux entreprises de partager ces données avec n’importe quel fournisseur de services tiers accrédité. Il s’agit d’une approche quelque peu différente de celle d’autres pays, où les fournisseurs de services sont responsables de l’obtention du consentement et de l’accès aux données des clients. L’idée centrale de cette approche est de permettre aux citoyens d’obtenir de meilleures offres de produits et de services grâce à une plus grande transparence.
Actuellement, le CDR a été adopté par les trois secteurs, et le gouvernement australien envisage d’étendre le cadre réglementaire à d’autres secteurs à l’avenir.
La complexité technique et réglementaire représente les deux points d’achoppement les plus importants du CDR. Au-delà du défi que représente le développement d’API normalisées, le CDR exige une coopération et une coordination entre de multiples organismes de réglementation dans plusieurs secteurs, ce qui risque de créer une grande confusion pour les entreprises. En outre, les clients, en particulier ceux qui ne sont pas au courant de l’existence du CDR, peuvent partager des données incomplètes avec les fournisseurs de services, ce qui complique la tâche des entreprises qui souhaitent s’engager efficacement auprès d’eux.
Un chemin semé d’embûches
Sur la base de ce qui précède, il existe quelques points communs en ce qui concerne les défis du système bancaire ouvert.
- Des exigences techniques complexes qu’une organisation peut ne pas avoir l’expertise nécessaire pour satisfaire.
- Des cadres réglementaires confus.
- Les risques de sécurité créés par l’augmentation du partage et de l’interconnectivité des données.
- Une mise en œuvre longue et coûteuse.
Chacun de ces éléments est difficile à surmonter en soi. Pris ensemble, ils peuvent sembler impossibles à résoudre. Mais ce n’est pas le cas – ou plutôt, ce n’est pas nécessaire.
Une bonne approche de la sécurité et de la gestion des risques facilite grandement l’adoption du système bancaire ouvert. Indigo Consulting peut vous aider à vous préparer.
Nous travaillerons avec vous pour nous assurer que votre sécurité, votre infrastructure et vos opérations sont à la hauteur et que vous pouvez réduire les risques pour vous préparer à ce qui pourrait être le plus grand changement de marché auquel votre organisation ne sera jamais confrontée.