Donner du pouvoir aux consommateurs, accélérer l’innovation. Êtes‑vous prêt pour le moment des services bancaires ouverts au Canada?

Le système bancaire ouvert passe de la consultation à la mise en œuvre au Canada, et la fenêtre de préparation se rétrécit rapidement. Le gouvernement fédéral a indiqué que l’accès en lecture (première phase du SBO) devrait débuter en 2026, permettant à des tiers accrédités d’accéder aux données financières des consommateurs par des canaux sécurisés et normalisés. L’accès en écriture devrait suivre dans une phase ultérieure, autorisant les tiers, avec le consentement des consommateurs, à initier des transactions une fois les éléments législatifs, réglementaires et d’infrastructure requis en place. La trajectoire est claire : l’accès en lecture n’est plus une question de politique publique, c’est un défi de réalisation.

Ce changement est important, car le niveau de préparation dans l’écosystème demeure inégal. Les institutions financières sont invitées à se préparer à un environnement réglementé de partage de données, activé par interface de programmation d’applications (IPA), alors que des questions clés – normes opérationnelles, responsabilité, résolution des litiges, accréditation, recours des consommateurs, contrôles de fraude et attentes de supervision – continuent de se préciser. Concrètement, les institutions doivent faire progresser leurs capacités SBO en interne, tandis que les derniers détails du régime sont encore en cours de clarification.

SBO : l’essentiel

Présenté pour la première fois par le gouvernement en 2018, le cadre des services bancaires axés sur les consommateurs a été officialisé comme cadre national canadien des services bancaires ouverts avec son inclusion dans le Budget de 2025. Pour mettre en œuvre le SBO, le gouvernement fédéral prévoit un déploiement progressif articulé autour de deux modalités d’accès :

• Phase 1 – Accès en lecture (lancement prévu en 2026) permettra aux consommateurs d’autoriser le partage sécurisé de leurs données financières, au moyen d’IPA normalisées, avec des institutions financières accréditées, des prestataires de services de paiement, des coopératives de crédit et des fournisseurs tiers.
• Phase 2 – Accès en écriture (prévue ultérieurement, à mesure que les éléments législatifs, réglementaires et d’infrastructure seront en place) permettra aux consommateurs d’autoriser l’initiation de transactions par l’entremise de tiers accrédités.

Ensemble, ces capacités constituent la base d’un écosystème financier canadien plus innovant, plus ouvert et mieux encadré. Toutefois, la distinction entre elles est essentielle. L’accès en lecture introduit un partage des données à grande échelle respectueux de la vie privée, qui exige des institutions financières qu’elles gèrent le consentement, la qualité des données, la cybersécurité et la résilience opérationnelle de manière sécurisée, normalisée et observable. L’accès en écriture fait passer le SBO à l’exécution financière directe, où les transactions échouées, la fraude, les activités non autorisées, la responsabilité et les mécanismes de recours des consommateurs ont des répercussions financières immédiates. Pour les institutions financières, les choix d’architecture, de contrôle, de surveillance et d’expérience client effectués au stade de l’accès en lecture doivent être conçus en prévision de l’accès en écriture ; considérer l’accès en lecture comme un simple chantier de conformité « minimaliste » expose à des réfections coûteuses et à des risques accrus lorsque l’initiation de paiements suivra.

Attentes des consommateurs

Le succès du SBO sera jugé à l’aune de sa capacité à offrir des résultats tangibles et dignes de confiance pour la vie financière des Canadiens. Les consommateurs s’attendront à des droits de portabilité des données sûrs, intuitifs et transparents – avec une visibilité claire sur qui accède à leurs données, à quelles fins, comment révoquer leur consentement, et vers qui se tourner en cas de problème. Ils attendront aussi des bénéfices concrets : des parcours d’embarquement plus rapides, un changement de compte simplifié, des informations plus personnalisées, un meilleur accès au crédit, un approvisionnement de compte facilité et un plus grand contrôle sur leurs informations financières.

Ces attentes élèvent la barre pour les institutions financières et exigent davantage qu’une simple conformité technique aux règles et règlements. Surtout dans les moments de vulnérabilité – fraude, connexions de données défaillantes, transactions contestées, incertitudes sur l’accès par des tiers – les consommateurs se tourneront d’abord vers leur banque principale, indépendamment de l’endroit où se situe ultimement la responsabilité.

Réalités d’exécution : pourquoi la préparation compte dès maintenant

Même si le déploiement par étapes du SBO trace une feuille de route, il ne doit pas créer un faux sentiment de délai. L’accès en lecture arrive rapidement, et nombre des capacités nécessaires pour l’exploiter en toute sécurité – résilience des IPA, gestion du consentement, intervention en cas d’incident, traitement des différends, mécanismes de responsabilité, éducation des consommateurs – ne peuvent pas être construites à la dernière minute.

L’exécution est d’autant plus complexe que plusieurs éléments clés du cadre continuent d’évoluer, notamment l’allocation des responsabilités, le renouvellement de l’accréditation, le recours des consommateurs, la résolution des différends, la gestion de la non‑conformité et le séquencement de la mise en œuvre. Cela ne milite pas pour un report du côté des institutions financières ; au contraire, cela renforce la nécessité de se mobiliser dès maintenant, tout en développant en parallèle les prérequis fondamentaux avec une flexibilité suffisante pour s’adapter à mesure que le cadre arrive à maturité.

Le SBO n’est qu’un des changements à venir dans l’écosystème financier canadien

L’introduction du SBO survient alors que plusieurs évolutions réglementaires, d’infrastructure et de politique publique convergent, notamment la Loi sur les activités associées aux paiements de détail, l’introduction du système de paiements en temps réel, les modifications à la Loi sur la protection des renseignements personnels et les documents électroniques, la Loi sur les cryptomonnaies stables, ainsi que des changements au dispositif de supervision réglementaire.

Ensemble, ces évolutions signalent une transition claire vers la finance ouverte au Canada. Les institutions financières, les entreprises et les consommateurs doivent s’attendre à opérer dans un environnement où l’accès en lecture et en écriture du SBO est en place, où la portabilité des données à l’échelle des secteurs est établie, où les stablecoins deviennent un instrument de paiement réglementé, où les prestataires de services de paiement (PSP) sont pleinement intégrés au paysage des paiements, et où l’IA est de plus en plus intégrée aux décisions financières.

Recalibrage concurrentiel et écosystémique

L’issue la plus probable est un changement progressif, mais significatif de la façon dont les relations consommateurs sont nouées, entretenues et monétisées. À mesure que les frictions de partage des données diminuent, les entreprises de technologie financière, plateformes numériques et autres institutions financières pourront intégrer des services financiers au cœur de parcours consommateurs à haute fréquence. Cela facilitera l’essai de nouveaux fournisseurs par les consommateurs et rendra plus difficile pour les institutions financières de s’appuyer sur l’inertie.

Cela ne signifie pas que les institutions financières font face à une menace existentielle. Cela signifie toutefois que les fondements de la concurrence évoluent. L’avantage compétitif découlera de plus en plus de la confiance, de la rapidité, de la personnalisation, de l’interopérabilité et de la capacité à exploiter des données internes et externes. Les institutions qui comprennent où et pourquoi leurs clients connectent leurs données seront mieux placées pour défendre la primauté, détecter les signaux d’attrition et concevoir des propositions qui répondent à de véritables besoins.

Ces changements convergents pourraient transformer la manière dont nous concevons et opérons dans les écosystèmes des paiements et de la banque au Canada. Par exemple, contrairement à des initiatives réglementaires antérieures, le SBO externalise des capacités bancaires de base dans un écosystème réglementé. La disponibilité, les usages abusifs, la fraude et les défaillances de tiers seront de plus en plus perçus comme des échecs de la banque principale, indépendamment de l’allocation contractuelle des responsabilités. En tenant compte de cela, nous anticipons que l’écosystème évoluera de la manière suivante :

• Concentration accrue de la confiance : la valeur pour le consommateur se concentrera autour d’un petit nombre de moments décisionnels à forte confiance. La confiance et le contrôle primeront sur la monétisation des données.
• Valeur précoce de l’accès en lecture : les premiers bénéfices du SBO découleront de cas d’usage simples et fréquents, notamment l’accès en lecture aux données transactionnelles des comptes consommateurs (p. ex., embarquement accéléré, analyses plus personnalisées, meilleur accès au crédit).
• Risques croissants avec l’accès en écriture : les risques de fraude, la complexité des responsabilités et la gravité des pertes augmenteront sensiblement avec l’accès en écriture, où l’exposition passe de l’usage abusif des données à un résultat financier direct. Les décisions actuelles d’architecture, de contrôles et d’expérience client permettront – ou limiteront – une initiation de paiements sécurisée à l’avenir.
• Responsabilité réputationnelle concentrée : le risque réputationnel se concentrera sur la banque principale. Nous nous attendons à ce que les consommateurs s’adressent d’abord à leur banque pour les plaintes et les recours, même lorsque la cause racine se situe à l’extérieur de celle‑ci. La manière de gérer ces moments de vulnérabilité renforcera – ou érodera – la relation de confiance.
• Concurrence écosystémique intensifiée : la pression concurrentielle s’intensifiera hors des dépôts, en particulier dans le crédit non garanti, les paiements et l’acquisition de clients – portée tant par les institutions financières que par les entreprises de technologie financière et plateformes numériques intégrant des services financiers dans les parcours consommateurs.
• Hausse des coûts d’acquisition : les coûts augmenteront à mesure que les frictions au changement diminuent et que la concurrence se recentre sur l’expérience et la confiance plutôt que sur l’accès aux données.

Pour les institutions financières, cette convergence fait passer le SBO d’un simple exercice de conformité à un changement structurel dans la manière dont les données et les services financiers sont fournis. L’extension simultanée des paiements en temps réel, de l’accès des tiers réglementés, d’une supervision centralisée et de la mobilité des données intersectorielle va transformer en profondeur la façon dont la valeur est créée, défendue et délivrée.

Les institutions financières doivent choisir le rôle qu’elles entendent jouer

Banques assujetties – impératif immédiat de conformité : Elles doivent satisfaire des obligations de données sortantes « données sortantes » dans des délais comprimés, tout en démontrant la résilience, la sécurité et le niveau de contrôle d’infrastructure attendus des systèmes bancaires de base. Parallèlement, l’occasion est réelle de bâtir les capacités nécessaires pour défendre et développer les relations avec les consommateurs – afin que la mise en œuvre du SBO ne serve pas de plan directeur aux concurrents, mais qu’elle renforce la position concurrentielle propre à chaque banque.

Institutions non assujetties et autres participants volontaires – un choix différent, mais tout aussi déterminant. Elles peuvent attendre que la participation devienne une attente du marché, ou tirer parti de la transition pour créer des propositions différenciées, couvrir les cas d’usage phares du SBO (p. ex., embarquement accéléré, simplification du changement de compte) et s’inscrire plus tôt dans les écosystèmes émergents de la finance ouverte. Dans les deux cas, la question n’est plus de savoir si le SBO comptera. La question est de savoir si les institutions seront prêtes à opérer, à concurrencer et à protéger les Canadiens dans un système financier plus ouvert.  

Choix stratégiques pour les banques assujetties

Le SBO ouvrira des pistes stratégiques différenciées selon les institutions. Les banques assujetties ont une obligation immédiate de conformité, mais leur fenêtre stratégique sera courte si elles définissent la réussite comme le seul habilitant du partage sortant de données. Une posture de données sortantes « data out » peut satisfaire au minimum réglementaire, mais elle risque de cantonner la banque au rôle d’infrastructure au service des propositions d’autres acteurs. La question véritablement stratégique est de savoir comment les institutions financières utiliseront le SBO pour faire entrer les données (« data in »), approfondir les perspectives, améliorer l’expérience client et renforcer la relation principale.

De façon générale, les banques assujetties peuvent choisir entre deux rôles :

Fournisseurs d’accès de confiance aux données (accent sur les données sortantes « data out ») : dans ce rôle, la priorité est d’offrir un accès aux données et aux services qui soit sécurisé, résilient, conforme et rentable – une exigence obligatoire et essentielle pour les participants assujettis. Ce positionnement s’appuie directement sur les forces des institutions financières en matière de confiance, de gestion des risques, de résilience opérationnelle, de protection de la vie privée et d’exécution réglementaire, mais il demeure une posture défensive. S’il est poursuivi seul, il peut protéger la franchise sans pour autant créer une valeur différenciée pour les consommateurs.

Orchestrateurs d’écosystèmes et d’expériences (accent sur les données entrantes « data in ») : dans ce rôle, les banques assujetties peuvent utiliser le SBO comme une plateforme pour de nouvelles propositions – en intégrant des données externes dans les parcours clients, en réduisant les délais d’embarquement, en offrant des analyses financières plus personnalisées et en simplifiant le financement des comptes ainsi que les expériences de mouvements de fonds. Cela exige un accent délibéré sur les données entrantes, le consentement des consommateurs, l’analytique, les modèles de partenariat et l’innovation produit. Il s’agit aussi, pour les banques, de comprendre où les consommateurs partagent leurs données, quelles relations avec des tiers gagnent en importance et comment ces relations peuvent influer sur la fidélité, l’engagement et la primauté.

Les institutions les plus solides feront probablement les deux. Elles construiront l’infrastructure nécessaire pour fournir un accès sécurisé aux données, tout en identifiant les parcours clients où le SBO peut créer une valeur visible pour leur organisation. À mesure que les systèmes sont activement architecturés pour répondre aux exigences de conformité en matière de partage de données, les banques assujetties disposent d’une fenêtre pour concevoir délibérément à la fois pour la conformité et pour la compétitivité – en alignant les systèmes et les technologies afin de passer du statut d’exportateurs de données à celui d’importateurs, d’activateurs et d’orchestrateurs de valeur. L’enjeu n’est pas de débloquer prématurément des occasions commerciales à partir des données, mais d’exploiter la confiance, l’intelligence et la facilité d’usage pour rester au cœur de la vie financière des consommateurs.

Implications pour les dirigeants bancaires  

Le SBO ne peut pas être traité comme une initiative de conformité « en plus de la pile ». Il exige un programme coordonné à l’échelle de l’entreprise couvrant la technologie, le risque, la sécurité, les données, la conformité, la protection de la vie privée, le produit, les opérations et les lignes d’activité. Les institutions qui iront le plus vite seront celles qui en feront une priorité d’exécution transversale, avec une responsabilité clairement attribuée, des processus décisionnels redevables et une vision partagée des implications pour le consommateur, le risque et la technologie. Les établissements financiers contribueront à déterminer si le SBO renforce la confiance dans un système financier sécurisé et optimisé – ou si une exécution incohérente sape cette confiance au moment précis où l’écosystème devient plus interconnecté.

Directeurs produits et dirigeants de lignes d’activités

Le SBO oblige les dirigeants de lignes d’activité à prendre des paris difficiles et visibles, en décidant où mener avec une valeur consommateur différenciante et où standardiser, tout en veillant à équilibrer l’innovation avec la confiance, la clarté du consentement et la réalité opérationnelle. Quelques considérations clés pour les directeurs produits et les dirigeants de lignes d’activités :

• Prioriser un ensemble ciblé de parcours consommateurs et de moments décisionnels à forte portée, tout en différant explicitement ou en commoditisant les domaines à plus faible valeur.
• Exploiter les données SBO entrantes pour renforcer les relations primaires avec les clients et améliorer la personnalisation plutôt que de compter sur le partage sortant de données. Aligner l’innovation produit avec la confiance des consommateurs, un consentement clair et un niveau de préparation opérationnelle adéquat.
• Viser d’abord des résultats consommateurs différenciés, en reportant les modèles de monétisation ou l’introduction de frais jusqu’à ce que la valeur soit démontrée.
• Planifier de manière proactive l’évolution des rôles dans l’écosystème et les implications associées pour le modèle économique, y compris les partenariats et les évolutions de revenus.

Directeurs des systèmes d’information

Le SBO transforme la connectivité externe en une infrastructure bancaire réglementée, élargissant le périmètre technologique de la banque sous supervision. Considérations clés pour les directeurs des systèmes d’information :

• Mettre en place des capacités IPA de niveau infrastructure avec une forte résilience, une observabilité robuste et des mécanismes de reprise alignés sur les attentes réglementaires.
• Permettre la surveillance en temps réel des accès des tiers et de l’activité transactionnelle à travers l’écosystème.
• Rationaliser et simplifier l’architecture sur les couches consentement, identité et intégration centrale.
• S’assurer que les plateformes technologiques sont alignées sur les exigences émergentes de gouvernance et de supervision de la Banque du Canada.

Directeurs des risques

Le SBO élargit le périmètre de risque des institutions financières au‑delà des acteurs établis de l’écosystème des paiements. Les CRO doivent donc gérer les risques à l’échelle d’un réseau de participants interconnectés plutôt qu’au niveau d’une seule institution. Considérations clés pour les directeurs des risques :

• Étendre les cadres de gestion des risques pour inclure la surveillance continue des participants accrédités de l’écosystème et des tiers.
• Mettre en place des modèles clairs de responsabilité multipartite, avec des processus robustes de résolution des litiges et de gestion des incidents.
• Renforcer les capacités de détection de la fraude et des crimes financiers afin d’identifier les activités anormales provenant des canaux tiers.
• Intégrer les risques au niveau de l’écosystème dans la gouvernance des risques d’entreprise et les structures de compte rendu réglementaire.
• Différencier les contrôles et l’appétence au risque entre l’accès en lecture seule aux données et les risques liés aux transactions en écriture.

Directeurs de la sécurité des systèmes d’information

Le SBO élargit la surface des cyberattaques de la banque : les directeurs de la sécurité des systèmes d’information doivent sécuriser un écosystème financier en connexion continue plutôt qu’un environnement institutionnel fermé. Considérations clés pour les directeurs de la sécurité des systèmes d’information :

• Renforcer l’architecture de sécurité des IPA sur l’ensemble du parcours : authentification, autorisation et protocoles d’échange de données sécurisés.
• Mettre en place une surveillance continue des connexions tierces afin de détecter les anomalies et les usages abusifs.
• Faire évoluer les cadres de cyberrésilience pour adresser une surface d’attaque externe élargie dans un écosystème interconnecté.
• Étendre les capacités de réponse aux cyberincidents pour permettre une action coordonnée entre institutions participantes.

Directeurs des données

L’introduction du SBO sera déterminante pour savoir si les capacités data d’une banque lui permettent de rester la banque principale du client, ou si des concurrents vont commoditiser ce rôle au sein d’un écosystème piloté par le consommateur. Considérations clés pour les directeurs des données :

• Élever la qualité et la standardisation des données afin de garantir que les données exposées à l’externe soient exactes, cohérentes et protègent notre réputation.
• Mettre en place des plateformes capables de distribuer des données en temps réel, de manière évolutive et fiable, aux participants de l’écosystème.
• Renforcer les capacités d’ingestion, de normalisation et d’opérationnalisation des données financières externes pour enrichir les perspectives.

Directeurs de la conformité et directeurs de la confidentialité

À mesure que le SBO étend le partage de données au sein d’un écosystème interconnecté, les directeurs de la conformité et les directeurs de la confidentialité doivent garantir que le consentement soit opérationnellement exécutoire et révocable, que les résultats en matière de confidentialité soient démontrés de manière continue, et que l’imputabilité, l’escalade et les voies de recours pour les consommateurs restent claires et défendables, même lorsque les incidents impliquent plusieurs parties. Considérations clés pour les directeurs de la conformité et les directeurs de la confidentialité :

• Opérationnaliser des pratiques rendant le consentement exécutoire, traçable, vérifiable et facilement révocable en pratique.
• Intégrer des capacités permettant de démontrer en continu la conformité et les résultats en matière de confidentialité à l’échelle de l’écosystème, plutôt que de s’appuyer sur des validations ponctuelles.
• Définir des mécanismes clairs d’imputabilité, d’escalade et de recours pour les consommateurs couvrant les multiples parties participantes.
• Identifier et combler les écarts où la conformité technique pourrait ne pas répondre aux attentes des consommateurs en matière de confidentialité.
• Proposer des expériences de consentement simples, transparentes et conviviales, avec des contrôles en langage clair et des tableaux de bord accessibles.

Il est temps d’agir

Le chemin vers la conformité au SBO est complexe et la fenêtre de préparation se rétrécit. Les institutions financières doivent passer à l’action rapidement et avec confiance, en assumant un rôle de leader en tant que gardiennes de confiance de l’écosystème financier. À mesure que la concurrence évolue et que de nouveaux rôles au sein de l’écosystème émergent, les choix faits aujourd’hui détermineront non seulement leur posture de conformité au SBO, mais aussi leur position à long terme dans un système financier plus ouvert et interconnecté.

À court terme, les institutions financières devraient :

• Aborder la conformité comme le socle du contrôle et de la création de valeur, et non comme une obligation réglementaire à satisfaire au moindre coût.
• Renforcer l’engagement et la confiance des consommateurs afin de consolider la relation bancaire principale.
• Collaborer avec l’Agence de la consommation en matière financière du Canada et d’autres parties pour s’assurer que les consommateurs connaissent leurs risques, leurs droits et leurs options liés au SBO.
• Identifier les rôles qu’elles entendent assumer en chef de file dans un écosystème plus ouvert (p. ex., fournisseur d’utilités, orchestrateur) et ceux qu’elles se contenteront de considérer comme des prérequis.

À mesure qu’elles se préparent à l’introduction éventuelle de l’accès en écriture dans le cadre du SBO, les institutions financières devraient :

• Faire évoluer leurs capacités d’une manière qui préserve la résilience, le contrôle et la confiance des autorités de réglementation.
• Concentrer les efforts de création de valeur sur les domaines où elles bénéficient d’avantages structurels, tels que la gestion des risques, la conformité et la résilience.
• Participer à façonner l’accès en écriture du SBO en un processus opérationnel fondé sur les risques et ancré dans des considérations de sûreté et de solidité, afin de garantir que les consommateurs demeurent protégés à mesure que l’écosystème innove.

Comment Deloitte peut vous aider à vous préparer au SBO

Deloitte peut aider les institutions financières canadiennes à s’assurer que leurs organisations, leurs partenaires d’écosystème et leurs consommateurs sont prêts pour le SBO. Grâce à des professionnels au Canada et partout dans le monde, nous mettons à votre disposition les compétences, les connaissances, ainsi que l’expérience sectorielle et spécifique au SBO nécessaires pour vous adapter et prospérer dans ce nouvel environnement. Nous collaborerons avec vous pour intégrer un consentement centralisé, une surveillance continue des tiers et une gouvernance d’entreprise, afin de positionner votre banque pour une montée en échelle sécurisée, la défense de ses relations primaires et la création de valeur à mesure que le SBO se développe au Canada.

La banque axée sur le consommateur arrive. Discutons-en.

Pour en savoir plus sur les effets du SBO sur votre organisation et sur la manière dont Deloitte peut vous aider à vous préparer, contactez l’un des professionnels listés ci‑dessous.  

Remerciements aux principaux contributeurs

Stevan Djordjevic, consultant, Technologie et transformation

Peiching Teo, directrice, Stratégie, risques et transactions

Alex Whang, consultant principal, Technologie et transformation