McMillan LLP

07/14/2026 | Press release | Distributed by Public on 07/14/2026 15:35

Services bancaires axés sur les consommateurs : nouveaux détails énoncés dans le projet de règlement

Services bancaires axés sur les consommateurs : nouveaux détails énoncés dans le projet de règlement

6 juillet 2026 Banking & Finance Bulletin Lecture de 4 min

Dans notre dernier bulletin, nous avons exposé les grandes lignes du mandat de la Banque du Canada en vertu de la Loi sur les services bancaires axés sur les consommateurs (la « Loi ») et discuté du projet de loi C-15, qui a reçu la sanction royale le 26 mars 2026, marquant une étape importante dans l'élaboration du cadre législatif canadien des services bancaires axés sur les consommateurs (également appelé « système bancaire ouvert »).

Le système bancaire ouvert permet aux consommateurs de transmettre en toute sécurité leurs données financières, détenues par leurs institutions financières, aux fournisseurs tiers de leur choix [1]. Auparavant, les Canadiens n'avaient pas de moyen sûr de les communiquer, ce qui obligeait beaucoup d'entre eux à recourir aux « captures de données d'écran ». Cette pratique exige la fourniture de leurs renseignements d'identification confidentiels et les expose à des risques en matière de sécurité [2]. Grâce au système bancaire ouvert, les Canadiens pourront transmettre leurs données financières de façon sûre, tout en conservant un meilleur contrôle sur celles-ci.

Règlement sur les services bancaires axés sur les consommateurs

Le 27 juin 2026, le gouvernement du Canada a publié le Règlement sur les services bancaires axés sur les consommateurs (le « Règlement ») aux fins de consultation publique, les commentaires des parties prenantes étant demandés avant le 26 août 2026 [3].

Protections de confidentialité en vertu du Règlement

Entre autres, le Règlement instaure un régime détaillé de surveillance du consentement qui restreint la façon dont les entités participantes peuvent utiliser les données des consommateurs. Selon ce cadre, les données transmises ne peuvent être utilisées qu'aux fins consenties par le consommateur, sous réserve de quelques exceptions limitées, notamment i) les enquêtes raisonnables sur les infractions à la loi, ii) les urgences qui mettent en danger la vie, la santé ou la sécurité d'une personne, et iii) les données accessibles au public [4].

De plus, le consentement doit être renouvelé en dehors de la période normale de 12 mois dans des circonstances précises, notamment lorsque l'authentifiant du consommateur a été volé ou exposé à un risque imminent [5].

La Loi confère aux consommateurs le droit de demander la suppression de leurs données. Le Règlement précise que les entités participantes ne sont pas tenues de supprimer les données qui ont été anonymisées de façon irréversible, mais elles doivent aviser par écrit les consommateurs lorsque la suppression est autrement refusée ou retardée, y compris en précisant quand la suppression sera terminée, sans exiger que le consommateur ait à intervenir [6].

Les entités participantes doivent noter que les obligations en vertu des lois applicables en matière de protection de la vie privée, comme la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), continueront de s'appliquer [7]. La conformité à la Loi et au Règlement ne satisfera pas automatiquement aux exigences des lois sur la protection de la vie privée. Par exemple, bien que la LPRPDE contienne des exemptions de consentement similaires à celles énumérées dans le Règlement, celles énoncées dans la LPRPDE sont plus contraignantes en ce qui concerne les renseignements accessibles au public [8]. Une entité participante souhaitant utiliser des renseignements accessibles au public sans consentement doit s'assurer qu'elle satisfait à l'exception prévue par le Règlement, ainsi qu'à une exception valide en vertu des lois applicables en matière de protection de la vie privée.

Informations importantes pour les banques

Bien que la Loi ne s'applique pas aux données dérivées, les données visées sont définies largement dans le Règlement pour comprendre les données d'identification, les renseignements sur le compte et les modalités des produits et services qui sont offerts aux consommateurs ou mis à leur disposition [9].

Bien que les banques tenues de participer au cadre ne soient pas assujetties au processus d'accréditation, elles doivent adhérer entièrement aux « règles communes » qui établissent des obligations relatives à la protection des renseignements personnels et au consentement, à la responsabilité, à la sécurité, à la sécurité nationale et à l'intégrité.

En tant que fournisseurs de données, les banques doivent authentifier les consommateurs à l'aide d'une authentification multifacteur lors de la réception de la première demande de données pour toute période de consentement, et être responsables des pertes financières découlant de ce processus d'authentification [10].

Considérations pour les fournisseurs de services non bancaires

Contrairement aux banques, la plupart des fournisseurs de services non bancaires (y compris les entreprises de technologie financière) doivent suivre l'intégralité du processus d'accréditation avant de participer au cadre [11]. Les demandeurs doivent :

  • avoir un établissement au Canada;
  • avoir souscrit une assurance suffisante ou une garantie comparable couvrant les risques associés à la gestion des données;
  • obtenir d'un tiers indépendant la confirmation qu'il a mis en œuvre les mesures de sécurité;
  • payer des frais de demande, initialement fixés à 2 500 $;
  • mettre en œuvre et appliquer en tout temps une politique d'intégrité et de bonne moralité pour les membres clés du personnel;
  • respecter la norme technique applicable établie en vertu du paragraphe 125(1) de la Loi [12].

Les demandeurs de données sont responsables de l'obtention du consentement et de la réception des données dans le cadre de toute transaction [13].

Prochaines étapes

La mise en œuvre se fera par étapes : les exigences en matière d'accréditation entreront en vigueur en premier, suivies des règles communes et des frais d'évaluation à des dates ultérieures. Le cadre devrait être opérationnel dans son intégralité au cours de l'année suivant sa publication définitive [14]. Le projet de Règlement ayant été publié, nous pouvons nous attendre à ce que la Banque du Canada commence à émettre des lignes directrices à l'égard de la surveillance aux fins de consultation pour clarifier davantage ses attentes en la matière [15].

[1] Gouvernement du Canada, Une loi est adoptée pour mettre en œuvre le budget de 2025 : Un Canada fort.
[2] Gouvernement du Canada, Budget 2025 : Cadre canadien des services bancaires axés sur les consommateurs.
[3] Règlement sur les services bancaires axés sur les consommateurs, La Gazette du Canada, Partie I, volume 160, numéro 26 (« Règlement»).
[4] Règlement, alinéas 42a) à c).
[5] Règlement, alinéas 44(1)a) à c).
[6] Règlement, paragraphes 45(1) et (2).
[7] Loi sur la protection des renseignements personnels et les documents électroniques, LC 2000, ch. 5LPRPDE»). Le projet de loi du gouvernement fédéral visant à remplacer la LPRPDE, la Loi édictant la Loi visant à protéger la vie privée et les données des consommateurs (projet de loi C-36), introduirait un droit de suppression des données et des mesures d'application plus strictes. Veuillez consulter le bulletin de McMillan sur ce sujet.
[8] LPRPDE, alinéa 7(2)c.1).
[9] Règlement, art. 2.
[10] Règlement, alinéa 53b).
[11] L'accréditation simplifiée est offerte aux fournisseurs de services de paiement déjà inscrits en vertu de la Loi sur les activités associées aux paiements de détail (L.C. 2021, ch. 23, art. 177).
[12] Règlement, alinéas 7(1a) à d).
[13] Règlement, alinéa 53a).
[14] Règlement, s. v. « Mise en œuvre».
[15] Ibid.

par Darcy Ammerman, Robbie Grant, Gitashu Jain (étudiante d'été en droit) et Olivia Carlson (étudiante d'été en droit)

Mise en garde

Le contenu du présent document ne fournit qu'un aperçu du sujet et ne saurait en aucun cas être interprété comme des conseils juridiques. Le lecteur ne doit pas se fonder uniquement sur ce document pour prendre une décision, mais devrait plutôt obtenir des conseils juridiques précis.

© McMillan S.E.N.C.R.L., s.r.l. 2026

McMillan LLP published this content on July 14, 2026, and is solely responsible for the information contained herein. Distributed via Public Technologies (PUBT), unedited and unaltered, on July 14, 2026 at 21:35 UTC. If you believe the information included in the content is inaccurate or outdated and requires editing or removal, please contact us at [email protected]