Le système bancaire ouvert comporte des risques. Imaginons qu’un client fasse des affaires bancaires avec une institution financière qui entretient une relation ouverte avec un tiers fournisseur d’autres services. Ce tiers fournisseur a donc accès aux données du client. Si la sécurité de ce tiers est compromise, les données du client pourraient tomber entre les mains d’une organisation criminelle.
Cette éventualité illustre les plus graves inquiétudes entourant le système bancaire ouvert : les atteintes à la vie privée, la sécurité des données, la cybercriminalité et la fraude. Le secteur des services financiers fait déjà l’objet de bien des tentatives de fraude et de piratage, comme le montre le rapport de Statistique Canada sur le cybercrime, paru en 2018, qui rapporte que les établissements bancaires sont les entreprises ayant enregistré le plus de cyberincidents en 2017 (47 %). Le système bancaire ouvert a le potentiel d’amplifier l’effet des atteintes à la confidentialité et à la cybersécurité qui se produisent, ce qui pourrait entacher la réputation des établissements touchés et éroder la confiance des consommateurs à leur endroit.
Les banques, en revanche – toujours selon Statistique Canada –, sont beaucoup plus nombreuses à avoir mis en place des dispositifs de sécurité que les autres entreprises de l’étude. Il s’agit déjà d’un important facteur de différenciation pour elles, mais elles devront faire encore mieux dans le contexte du système bancaire ouvert, en particulier en ce qui a trait aux conventions qui régiront leurs relations avec des tiers. Elles devront s’assurer que ces derniers, eux aussi, ont pris les précautions nécessaires. Elles pourraient par exemple soumettre ces tiers à un processus de certification perfectionné pour vérifier leurs protocoles de sécurité avant de leur donner accès aux plateformes bancaires et de partager leurs données. Dans ce nouvel environnement, il sera essentiel de procéder à des évaluations périodiques des mesures de sécurité des tiers et de les surveiller pratiquement en temps réel. Les entreprises devront aussi améliorer leurs mesures de gestion des fraudes et de cyberprotection.
Comme nous l’avons mentionné, pour favoriser l’adoption du système bancaire ouvert, il faudra examiner en profondeur la confidentialité et intégrer cette notion dès le début de la conception.
Les mesures de sécurité que les entreprises devront mettre en place ne sont pas nouvelles, mais elles devront être plus rigoureuses et étendues pour s’adapter au système bancaire ouvert. C’est pourquoi il sera important que les entreprises revoient leur architecture de sécurité, surtout celle des applications ouvertes sur l’extérieur.
Les API ne sont pas nouvelles non plus, mais le système bancaire ouvert augmentera la vitesse et le volume d’échange des données, ce qui obligera les entreprises à mettre en place plus de mesures de contrôle pour identifier les activités frauduleuses qui pourraient survenir. Par exemple, elles devront immédiatement identifier toute hausse subite du volume d’activités et y répondre.
Des domaines en évolution, comme la gestion des identités et des accès, aident les entreprises à comprendre les comportements et les habitudes des clients et à identifier les anomalies dès qu’elles surviennent. Les progrès que le Canada a réalisés, grâce à des initiatives comme le Digital ID & Authentication Council of Canada (DIACC), contribuent grandement à la planification du système bancaire ouvert et des changements qu’il entraîne. Le DIACC a récemment publié un cadre de la fiabilité pancanadien, qui constitue le fondement de la participation entière et sécuritaire du Canada à l’économie numérique en évolution. Ce cadre porte principalement sur des solutions en matière d’identité numérique qui soient fiables, sécurisées, adaptables et pratiques et qui renforcent le respect de la vie privée.
Comme nous l’avons mentionné, pour favoriser l’adoption du système bancaire ouvert, il faudra examiner en profondeur la confidentialité et intégrer cette notion dès le début de la conception. Il est en effet essentiel d’offrir aux consommateurs plus de transparence et de contrôle sur la manière dont leurs renseignements personnels seront utilisés et échangés, le moment où ils le seront et par qui.
Les consommateurs devront toutefois être informés d’une façon claire et facile à comprendre. Leurs préférences en matière de consentement devront être respectées. C’est déjà difficile à réaliser au sein d’une entreprise, et ce sera encore plus complexe lorsque de nombreux acteurs seront impliqués.
Il sera également important d’établir un solide modèle de gouvernance des données précisant à qui revient la responsabilité de la confidentialité à l’échelle de l’écosystème et de s’assurer notamment que l’utilisation qui est faite des données est légale, équitable et éthique.
Puisque, dans ce contexte, un système est aussi solide que son maillon le plus faible, il convient de réfléchir à quoi ressemblera un modèle de protection de la vie privée approprié qui permettrait aux parties prenantes d’être rassurées quant aux personnes qui accèdent au système bancaire ouvert et à l’écosystème d’échange de données. Le gouvernement pourrait aussi devoir investir dans la création de matériel et d’informations sur la confidentialité, comme des politiques et des formations, et les offrir aux FinTech qui risquent de ne pas disposer d’autant de ressources à consacrer à cette question que les plus grandes institutions.
Associé et leader national, Cybersécurité, protection des renseignements personnels et lutte contre la criminalité financière, PwC Canada
Tél. : +1 416 815 5306
Leader nationale, Confiance dans les données et protection des renseignements personnels, PwC Canada
Tél. : +1 416 869 2384