Sauter la navigation

Publication du projet de règlement sur les services bancaires axés sur les consommateurs pour commentaire

14 juillet 2026

Le 27 juin 2026, le ministère des Finances a publié le projet de règlement très attendu (le « projet de règlement »), visant à faciliter la mise en œuvre de la Loi sur les services bancaires axés sur les consommateurs (la « Loi »).

Ce projet de règlement marque une étape importante dans la mise en œuvre du cadre canadien des services bancaires axés sur les consommateurs (le « Cadre ») et fait l’objet d’une période de consultation de 60 jours qui prendra fin le 26 août 2026.

Cadre législatif et règlements d’application

Comme nous en avons discuté dans nos bulletins précédents, la Loi, qui a été promulguée par la Loi no 1 d’exécution du budget de 2025 (le « projet de loi C-15 »), lequel a reçu la sanction royale le 26 mars 2026, établit le Cadre. Le Cadre est supervisé par la Banque du Canada et il traite de plusieurs éléments fondamentaux, comme la gouvernance, la portée, la participation, l’accréditation, les règles communes (consentement, responsabilité, sécurité), les normes techniques et l’examen de sécurité nationale.

Le projet de règlement s’appuie sur ce cadre législatif et introduit des exigences détaillées, notamment des règles concernant l’accréditation, la sécurité, l’examen de sécurité nationale, le consentement, l’authentification, la responsabilité, la production de rapports et la tenue de documents ainsi que le partage des données. Voici un aperçu général des principales exigences.

Exigences d’accréditation et de participation

Aux termes de la Loi, la participation au Cadre se répartit entre :

  • les entités participantes, telles que les institutions financières et les fournisseurs de services de paiement (les « FSP ») enregistrés, qui fournissent, demandent ou reçoivent directement des données relatives aux consommateurs;
  • les tiers fournisseurs de services accrédités (les « TFSA »), qui exercent des fonctions définies pour le compte d’entités participantes, telles que la gestion des consentements, l’authentification ou le mouvement des données.

La Banque du Canada sera chargée d’accréditer les participants admissibles, de tenir un registre public des entités participantes et des TFSA, ainsi que de veiller au respect du Cadre. Elle disposera également d’une série d’outils d’application, notamment des pouvoirs de suspension et de révocation, des accords de conformité et des sanctions administratives pécuniaires.

Accréditation

Les banques devant participer au Cadre ne sont pas soumises à la procédure d’accréditation. Les autres entités souhaitant participer doivent déposer leur demande en suivant l’une des quatre voies d’accréditation suivantes :

  1. les entreprises de technologie financière et autres entités;
  2. les fournisseurs de services de paiement (les « FSP ») enregistrés en vertu de la Loi sur les activités associées aux paiements de détail (la « LAPD »);
  3. les institutions financières fédérales et provinciales;
  4. les TFSA.

Les institutions financières réglementées et les FSP enregistrés aux termes de la LAPD bénéficient de procédures d’accréditation simplifiées qui s’appuient sur la surveillance réglementaire existante, tandis que les entreprises de technologie financière et les autres entités non réglementées sont soumises à des exigences d’accréditation plus poussées.

Quelle que soit la voie d’accréditation suivie, les demandeurs devront acquitter les droits d’accréditation de 2 500 $ CA (sous réserve de l’indexation annuelle et de l’arrondissement). Les entités participantes devront également verser des frais d’évaluation annuels une fois que le Cadre sera opérationnel.

Examen de sécurité nationale

Conformément à la Loi sur les banques et à la LAPD, tous les demandeurs d’accréditation peuvent faire l’objet d’un examen par le ministre des Finances pour des raisons liées à la sécurité nationale. Le ministre peut refuser l’accréditation, imposer des conditions, exiger des engagements ou ordonner la révocation de l’accréditation lorsque des préoccupations liées à la sécurité nationale émergent.

Exigences opérationnelles et de sécurité

Exigences de sécurité de base

Compte tenu du caractère sensible des données financières des consommateurs traitées par les entités participantes, le projet de règlement renferme des exigences exhaustives en matière de sécurité visant à définir une ligne de base commune pour l’ensemble du Cadre afin de gérer les risques opérationnels et de cybersécurité.

Les entités participantes seraient tenues de mettre en œuvre des mesures de sécurité élaborées, d’une manière qui est proportionnelle au niveau de sensibilité des données, notamment les mesures suivantes :


  • des procédures pour la détection et la correction des vulnérabilités;
  • des configurations sécurisées par défaut;
  • des logiciels de sécurité et des outils de surveillance;
  • des méthodes d’authentification sécurisées;
  • des politiques sur la gestion de l’accès;
  • des procédures d’enregistrement et de chiffrement;
  • des contrôles de sécurité sur les réseaux et des mesures de protection;
  • des contrôles relatifs au stockage externe;
  • des restrictions concernant les appareils et applications non autorisés;
  • des mesures de protection contractuelles applicables aux tiers fournisseurs de services en matière de protection des données;
  • la formation du personnel et un plan de réponse aux incidents.

Les institutions financières fédérales et provinciales sont généralement autorisées à se fonder sur les cadres prudentiels et de surveillance existants pour démontrer leur conformité à ces exigences, sous réserve du contrôle exercé par leurs organismes de réglementation respectifs (à savoir le BSIF ou les organismes de réglementation provinciaux compétents).

Normes de niveau de service

Les entités participantes seraient également tenues de respecter des normes de niveau de service minimal, notamment des exigences de base pour le temps de disponibilité des points d’extrémité qui doivent être disponibles 99,5 % du temps chaque mois et la remise, sur demande, de 24 mois de données financières des consommateurs. Le gouvernement a indiqué que cette exigence de fournir 24 mois de données vise à soutenir les principaux cas d’utilisation des services bancaires axés sur les consommateurs, par exemple la budgétisation, l’établissement du crédit et une meilleure adjudication de crédit.

Tenue de documents et production de rapports

Conformément aux exigences prévues par la LAPD, les entités participantes devraient conserver pendant cinq ans les documents attestant leur conformité à la Loi et à la réglementation applicable. Elles devraient par ailleurs mettre en place des mesures pour protéger les dossiers contre la perte, la destruction, la falsification, les inexactitudes et l’accès par des personnes non autorisées.

Les entités participantes seraient également tenues de fournir à la Banque du Canada un rapport annuel portant sur des éléments prescrits, notamment les suivants :

  • les activités relatives au partage de données des consommateurs;
  • les consentements exprès et les demandes de suppression;
  • les modifications apportées aux mesures de protection de la sécurité, aux politiques et aux procédures;
  • les atteintes aux mesures de protection de la sécurité;
  • des indicateurs de performance financière;
  • le respect continu des normes techniques applicables.

Par ailleurs, les entités participantes devraient :

  • signaler à la Banque du Canada toute atteinte impliquant des données des consommateurs dans les plus brefs délais après en avoir pris connaissance;
  • aviser les consommateurs concernés lorsqu’une atteinte pose un risque réel de préjudice grave.

Portée des données visées

La Loi définit les catégories générales de renseignements dont la transmission est obligatoire et requiert l’autorisation des consommateurs aux termes du Cadre, tout en excluant les données dérivées qui ont été considérablement améliorées afin d’accroître leur utilité ou leur valeur commerciale. Le projet de règlement fournit des précisions supplémentaires concernant la portée des données devant être partagées.

Le projet de règlement précise que les données dans la portée du Cadre comprendraient :

  1. les données sur le profil du consommateur, telles que le nom, l’adresse, la date de naissance et les renseignements sur l’emploi;
  2. les données sur les comptes, notamment les renseignements identifiant les comptes, les ententes relatives aux comptes, les données sur les soldes et les renseignements sur les opérations;
  3. les données sur les produits, comme les modalités des produits ou services financiers disponibles ou offerts par les entités participantes aux consommateurs.

Aux termes du projet de règlement, les entités participantes seraient autorisées à utiliser les données à des fins autres que celles initialement acceptées, dans des circonstances limitées :

  • des enquêtes sur les infractions à la loi;
  • des urgences qui mettent en danger la vie, la santé ou la sécurité d’une personne;
  • des situations où les données sont accessibles au public.

Par ailleurs, les demandes de suppression pourraient être refusées si les données ont été anonymisées de manière irréversible et durable, de sorte qu’une nouvelle identification ne soit pas raisonnablement prévisible, ou lorsque des obligations légales de conservation empêchent leur suppression.

Partage de données

L’une des caractéristiques essentielles du Cadre est l’obligation imposée à une entité participante de transmettre les données dans la portée du Cadre avec l’autorisation des consommateurs à d’autres entités participantes, conformément aux instructions du consommateur. Le projet de règlement renferme les exigences opérationnelles régissant cette procédure.

Avant de partager ou de demander des données, une entité participante devrait :

  1. vérifier l’identité de la contrepartie;
  2. confirmer, au moyen du registre de la Banque du Canada, que la contrepartie est accréditée et autorisée à fournir ou à recevoir des données.

Le projet de règlement permettrait aux entités participantes de refuser une demande de partage de données, même en présence d’un consentement valable du consommateur, lorsqu’il existe des motifs raisonnables de croire :

  1. que le partage de ces données causerait un préjudice physique, psychologique ou financier au consommateur;
  2. que le partage de ces données aurait une incidence négative sur la sécurité, l’intégrité ou la stabilité du cadre ou des systèmes de technologie de l’information et de communication d’une entité participante;
  3. le compte auquel se rapportent les données a été bloqué ou suspendu.

Ces exceptions permettraient aux entités participantes de refuser le partage de données ou d’y mettre fin lorsque des préoccupations liées à la protection des consommateurs, à l’état d’un compte ou à l’intégrité du système émergent; toutefois, elles obligeraient les entités participantes qui invoquent l’une de ces exceptions à en informer à la fois l’entité qui fait la demande et la Banque du Canada.

Renouvellement du consentement et authentification

En vertu de la Loi, un consentement exprès est nécessaire et est valide pendant une période maximale de 12 mois, après quoi il doit être renouvelé. Le projet de règlement prévoit les circonstances dans lesquelles un renouvellement serait nécessaire avant l’expiration de la période de validité normale du consentement. Les circonstances seraient notamment les suivantes :

  • lorsque les renseignements d’authentification d’un consommateur ont été compromis ou exposés à un risque imminent;
  • lorsqu’il y a eu un changement important dans la situation d’un consommateur;
  • lorsqu’il y a eu un changement important dans la situation de l’entité participante;
  • lorsqu’une autre entité participante a demandé le renouvellement du consentement en se fondant sur les mêmes motifs.

Le cadre d’authentification répartit les responsabilités entre :

  • les entités demandant des données qui sont chargées d’obtenir le consentement et de lancer la procédure d’authentification par l’intermédiaire du fournisseur de données;
  • les entités fournissant des données qui sont chargées d’authentifier le consommateur, notamment par le biais d’une authentification multifacteur, avant le partage des données.

La réauthentification est exigée au renouvellement du consentement et au début de chaque nouvelle période de consentement. 

Responsabilité

La Loi établit le régime central de la responsabilité applicable aux pertes financières découlant du partage de données aux termes du Cadre, y compris le principe selon lequel la responsabilité suit généralement les données. Le projet de règlement apporte des précisions supplémentaires sur les responsabilités respectives des entités participantes lorsqu’elles demandent, authentifient, transmettent et reçoivent des données.

Une entité participante serait tenue d’assurer la protection des données des consommateurs dont elle a le contrôle lors du partage de données, y compris lorsqu’une entité affiliée ou un TFSA exerce des activités pour son compte. Elle serait responsable envers le consommateur en cas de perte financière résultant directement de la perte de données, de l’accès non autorisé à des données ou de l’utilisation non autorisée de données à la suite d’une violation de ses mesures de protection de la sécurité.

Le projet de règlement précise que :

  • les entités demandant des données seraient responsables d’obtenir le consentement et de recevoir les données en toute sécurité;
  • les entités fournissant des données seraient responsables de l’authentification des consommateurs et de la fourniture sécurisée des données.

En règle générale, les consommateurs ne sont pas responsables des pertes financières découlant du partage de données. Toutefois, la responsabilité peut incomber au consommateur s’il a fait preuve d’une « négligence grave » (ou, au Québec, d’une « faute lourde ») dans la protection de ses renseignements d’authentification. L’utilisation abusive des renseignements d’authentification ne suffit pas à elle seule à établir l’existence d’une négligence grave, et il incombe à l’entité participante d’apporter la preuve d’un tel comportement.

Il convient notamment de noter que, aux termes du projet de règlement, les entités participantes seraient tenues d’aviser les consommateurs des mesures raisonnables qu’ils peuvent prendre afin de protéger leurs renseignements d’authentification et de les informer des conséquences liées à une négligence grave (ou à une faute lourde au Québec).

Prochaines étapes

S’il est adopté, le projet de règlement entrera en vigueur selon une approche échelonnée, à mesure que les dispositions pertinentes de la Loi sur les services bancaires axés sur le consommateur seront mises en vigueur par des décrets du gouverneur en conseil. Les exigences d’accréditation devraient être mises en œuvre progressivement dans un premier temps, puis viendraient les règles communes et les frais d’évaluation. Les catégories de données incluses dans la portée seraient également introduites progressivement en fonction du type de compte, en commençant par les comptes de dépôt et de paiement, puis en passant aux comptes de prêt, aux comptes enregistrés et aux comptes non enregistrés. Le calendrier et l’ordre de la mise en œuvre dépendraient ultimement de l’entrée en vigueur des décrets pris en application de la Loi.

Avant la mise en œuvre, le ministre des Finances devrait désigner :

  • l’organisme de normalisation technique responsable d’établir une norme technique unique applicable à toutes les entités participantes;
  • l’organisme externe de traitement des plaintes, qui assurera des services de règlement des plaintes relatives aux services bancaires axés sur les consommateurs.

La Banque du Canada devrait également publier des lignes directrices concernant l’accréditation, l’utilisation des données, la gestion des consentements et le partage des données.

Comme prévu, l’interdiction de la capture de données d’écran n’entrerait pas en vigueur dans la mise en œuvre initiale du Cadre. Le gouvernement a également confirmé que les travaux stratégiques futurs examineront une seconde phase plus vaste de services bancaires axés sur les consommateurs, notamment des fonctionnalités d’« accès en écriture » telles que le lancement de paiements ainsi que l’ouverture et la clôture de comptes.

Les institutions financières, les entreprises de technologie financière et les autres intervenants devraient examiner le cadre proposé et pourraient souhaiter présenter des commentaires au cours de la période de consultation de 60 jours.

Pour en savoir davantage, communiquez avec un membre de notre groupe Réglementation des services financiers.

Plus de ressources