Principales réglementations du secteur bancaire et exigences de conformité en matière de sécurité pour l'année 2021

Michael Magrath, mars 31, 2021

En 2020, la pandémie du nouveau coronavirus a poussé les organismes de réglementation et les décideurs politiques du monde entier à promulguer rapidement de nouvelles lois, politiques et règlements, ou à modifier les lois, politiques et règlements existants, pour permettre la continuité des activités commerciales en tout respect des mesures de distanciation physique. Bien que la pandémie ait eu une grande incidence sur le cadre règlementaire et que bon nombre de nouveaux règlements en ont résulté, d’autres lois non liées à la pandémie ont aussi été adoptées cette année.

Nous avons compilé ci-dessous certaines réglementations, lois et normes essentielles qui toucheront les IF.

Table des matières :

Principales réglementations en matière de sécurité des services financiers pour l’année 2021

Réglementations en matière de cybersécurité

Colombie

En décembre 2019, la direction des services financiers de la Colombie (la SFC), a diffusé une circulaire visant à consolider l’usage des canaux numériques dans la prestation des services financiers tout en encourageant l’adoption de technologies qui améliorent cette prestation de services auprès des consommateurs. Parmi ces technologies figurent notamment l’authentification biométrique, la chaîne de blocs, l’intelligence artificielle et la réalité augmentée. La SFC a consenti aux IF un délai de grâce de 18 mois pour se conformer entièrement aux nouvelles normes relatives à la sécurité. Elles ont donc jusqu’au mois de juin 2021.

La SFC exige le recours à une authentification forte pour les transactions et les paiements à distance.

Une authentification à deux facteurs ou plus sera requise en cas d’utilisation des mots de passe à usage unique (OTP), des données biométriques, des certificats numériques et des paiements par carte EMV (Europay, Mastercard et Visa).

Les IF devront optimiser les mécanismes d’authentification forte en se basant sur l’analyse de risque de chaque client qui pourrait révéler une plus grande exposition au risque de fraude ou d’usurpation d’identité. L’analyse doit être documentée, de même que les facteurs considérés tels que le profil transactionnel du client, le nombre de transactions, le montant en pesos, le type de produit, le canal utilisé, etc.

De plus, l’authentification forte sera exigée en cas de :

  • mise à jour des données du client pour la notification des opérations monétaires ou la génération de courriels ou d’alertes de portables
  • mouvements créditeurs et débiteurs initiés hors de la Colombie

La circulaire traite également des sujets suivants.

  • Le type de services infonuagiques accessibles, le type de renseignements recueillis pour procéder à une transaction et les mesures de contrôle de la sécurité pour la protection des données dans les environnements virtualisés ou les applications en nuage.
  • La portabilité des données : les normes applicables pour échanger des données en cours d’opérations monétaires telles que des transactions électroniques.

Inde

Le 18 février, la banque de réserve de l’inde (la RBI) a publié une circulaire portant sur les contrôles de sécurité en matière de paiements numériques, exigeant des entités réglementées d’établir une structure de gouvernance pour les produits et services de paiements numériques et, parallèlement, de mettre en œuvre un minimum de normes relatives à la sécurité des TI. Parmi les entités réglementées figurent :

  1. les banques commerciales agréées (hormis les banques rurales régionales)
  2. les petites banques de financement?
  3. les banques de paiements
  4. les entreprises de services financiers non bancaires (NBFC) émettant des cartes de crédit

La circulaire englobe la gouvernance et la gestion des risques pour la sécurité, les contrôles de sécurité, l’authentification, la gestion du risque de fraude, la protection des clients, les services bancaires en ligne, les contrôles de sécurité des applications de paiement mobiles, ainsi que le rapprochement et les normes de sécurité relatives aux paiements par carte.

Une des sections clés porte sur le cadre d’authentification. La RBI mentionne que « Compte tenu de la croissance effrénée des cyberattaques et de leurs conséquences possibles, les entités réglementées devraient, à moins d’une autorisation ou d’un assouplissement formulé de manière explicite, mettre en œuvre l’authentification multifactorielle (MFA) pour les paiements effectués par voie électronique et par transfert de fonds, dont notamment les retraits d’argent par guichets automatiques, micro-guichets automatiques et banques correspondantes jusqu’aux applications de paiement numérique. En général, au moins une des méthodes d’authentification devrait être dynamique ou non reproductible, par ex., les mots de passe à usage unique, les appareils mobiles (association d’appareils et module d’identification de l’abonné), les données biométriques, les ICP et les jetons matériels, de même que les cartes à puce EMV (pour les transactions avec carte) avec vérification côté serveur sont des méthodes pouvant être qualifiées de dynamiques ou non reproductibles. »

Selon le profil de risque obtenu et le comportement de l’utilisateur, les entités réglementées peuvent aussi déployer l’authentification adaptative après avoir procédé à une évaluation du risque.

Les exigences en matière de contrôles de sécurité entreront en vigueur en août.

Pérou

L’organisme de réglementation des services financiers du Pérou (la SBS), a publié en février la Resolución SBS504-2021 qui établit les règles de cybersécurité pour le secteur des services financiers.

Les IF ont l’obligation de mettre en œuvre un programme de cybersécurité comprenant les procédures à suivre et les interventions. Ces règles visent nettement à renforcer l‘authentification dans tous les canaux numériques, y compris ceux qui « supposent des paiements ou transferts de fonds à des tiers, l’inscription d’un bénéficiaire fiable, des modifications à des ententes d’épargnes préétablies ou à des produits d’assurance-investissement, l’adhésion à un produit ou à un service, la modification de limites et de conditions. »

Comme dans d’autres juridictions, la SBS exige aussi des IF de consolider les pratiques de sécurité auxquelles participent des fournisseurs externes.

Ces dispositions entreront en vigueur le 1er juillet 2021, sauf pour les exigences d’authentification qui bénéficient d’une extension jusqu’au 1er juillet 2022. Les entreprises doivent présenter un plan d’adaptation dans les 60 jours civils suivants le 19 avril 2021.

États-Unis

Le 12 janvier 2021, le Bureau du contrôleur de la monnaie (l’OCC), le Conseil des gouverneurs de la Réserve fédérale américaine et l’organisme fédéral d'assurance de dépôts bancaires (la FDIC) ont publié un avis de projet de réglementation. Cet avis est intitulé Computer-Security Incident Notification Requirements for Banking Organizations and Their Bank Service Providers.

Le règlement proposé dans l’avis précise que les banques doivent aviser l’OCC aussi tôt que possible dans les 36 heures après avoir reçu une notification et établi de bonne foi qu’il s’agit bien d’un cyber-incident.

Les banques peuvent aviser l’OCC en contactant la personne désignée de quelque manière que ce soit, y compris par des moyens technologiques, tant par écrit qu’oralement.

Si une banque subit une atteinte à sa sécurité qui aurait pu, en toute bonne foi, interrompre, dégrader et compromettre les services pour 4 h ou plus, elle devra faire appel à un prestataire de services bancaires externes pour aviser au moins deux personnes à chacune des banques touchées. Ce règlement est encore assujetti à la loi sur les entreprises de services bancaires.

Au moment de la rédaction de ce blogue, le règlement proposé a été soumis au public pour commentaires. La date limite de remise des commentaires est le 12 avril 2021.

Réglementations en matière de lutte contre le blanchiment d’argent et le financement du terrorisme

La valeur du bitcoin ayant passé le seuil du 60 000 $US à l’échelle mondiale, les organismes de réglementation ont procédé à un resserrement sur la scène des cryptoactifs. Au cours de sa réunion plénière de février 2021, le Groupe d'action financière (GAFI) a annoncé qu’il publiera une mise à jour des directives du GAFI relatives aux prestataires de services d’actifs virtuels (PSAV) pour consultation publique.

Le GAFI définit un PSAV comme une entreprise qui exerce une ou plusieurs des activités ou opérations suivantes pour le compte de ses clients :

  • échanges entre des actifs virtuels et des monnaies fiduciaires;
  • échanges entre une ou plusieurs formes d'actifs virtuels;
  • transferts d'actifs virtuels;
  • conservation et/ou administration des actifs virtuels ou des instruments permettant de contrôler les actifs virtuels;
  • participation à des services financiers et fourniture de services financiers liés à l’offre d'un émetteur et/ou à la vente d'un actif virtuel.

Parmi les PSAV figurent les bourses d’échange des cryptomonnaies, les dépositaires de portefeuille, les fonds spéculatifs, et les exploitants de guichets de monnaies numériques.

En 2019, le GAFI a publié ses directives initiales qui recommandaient aux PSAV de se conformer aux mêmes exigences de lutte contre le blanchiment d’argent et le financement du terrorisme que les IF classiques au sens où elles sont désormais réglementées, autorisées et enregistrées, et soumises à des systèmes de surveillance et de supervision efficaces.

D’après le GAFI, la version pour consultation publique sera publiée au mois de mars. À l’issue de cette consultation, le document sera examiné de nouveau et le GAFI s’attend à faire approuver les directives finales en juin 2021. La version préliminaire portera sur la manière d’appliquer les directives du GAFI aux cryptomonnaies stables, en traitant des risques liés aux échanges pair à pair, et de la mise en application des exigences relatives au partage de données, désignées comme « règles d’acheminement ».

Une fois les directives finales publiées, il est attendu que plusieurs organismes de réglementation à l’échelle mondiale révisent leur réglementation afin de se conformer aux exigences du GAFI avant la fin de 2021.

Sixième directive de l’UE contre le blanchiment d’argent (AMLD6)

La 6e directive, tout comme ses précédentes, visent à combattre le blanchiment d’argent et le financement du terrorisme et à créer un cadre règlementaire pour l’ensemble de l’UE.

Le Parlement européen a publié la directive 6AMLD en octobre 2018 exigeant aux États membres de l’UE de transposer la directive dans leur droit national avant la date limite du 3 décembre 2020. Les États membres doivent mettre en œuvre la nouvelle réglementation d’ici le 3 juin 2021.

La directive AMLD6 présente de nombreuses dispositions, telles que les définitions harmonisées de 22 infractions relatives au blanchiment d’argent à utiliser dans toute la zone euro. Elle prévoit également que, dorénavant, la responsabilité criminelle s’étend non seulement aux individus qui commettent des crimes mais à ceux qui tentent de blanchir de l’argent, ou incitent, aident ou soutiennent le blanchiment d’argent. Elle prévoit également que la responsabilité criminelle s’étend aux « personnes morales » qui englobent non seulement les individus mais aussi les partenariats et les sociétés.

Bien que les sanctions soient toujours considérées beaucoup trop légères, le maximum d’emprisonnement passe désormais de 1 an à 4 ans.

Russie

Une loi sur les « actifs financiers numériques » a été promulguée le 30 juillet 2020 et est entrée en vigueur le 1er janvier 2021. Elle prévoit une définition juridique pour le concept de « monnaies numériques », qui comprend les cryptomonnaies, et établit des procédures pour accorder, distribuer et enregistrer leurs transferts. Ces modifications aux actifs numériques suivent les modifications à la loi « sur le système national de paiement ». Les Russes doivent maintenant fournir une identification ou une identification simplifiée qui comprend le nom complet de la personne, pour déposer des fonds par l’intermédiaire d’un exploitant de monnaie électronique, et ne peuvent le faire qu’en utilisant un compte bancaire.

États-Unis

La NDAA (loi encadrant les transactions relatives au budget de défense nationale des É.-U.) a été promulguée le 1er janvier 2021 pour l’année fiscale 2021. Bien que l’objectif premier de la NDAA soit d’autoriser une augmentation de salaire aux membres des forces armées et d’allouer du financement à l’infrastructure militaire, elle héberge également la loi de 2020 contre le blanchiment d’argent et la loi sur la transparence des sociétés. Ces deux réglementations exigent d’importantes modifications aux lois fédérales contre le blanchiment d’argent.

La loi sur la transparence des sociétés vise à combattre l’utilisation de sociétés écrans qui ont été établies pour exercer des activités illégales, dont souvent du blanchiment d’argent, de l’évitement fiscal ou de l’évasion fiscale, tout en protégeant l’anonymat des véritables propriétaires.

Les IF établies aux É.-U. sont tenues de recueillir auprès des entités juridiques les renseignements concernant le propriétaire réel, généralement des entreprises clientes. La loi ajoute des exigences de déclaration aux IF en cas de changement dans la propriété réelle, visant plusieurs catégories d’entités commerciales telles que les sociétés par actions et les sociétés à responsabilité limitée (SARL). Un propriétaire réel se définit comme une personne qui possède ou contrôle, directement ou indirectement, 25 % ou plus d'une entité commerciale ou exerce un contrôle substantiel sur une entité commerciale. La notion de « contrôle substantiel » doit être définie dans la réglementation à venir.

La loi intègre aussi de nouveaux outils d’application de la loi et de nouvelles ressources, et exige du FinCEN de publier la réglementation en matière de signalement de la propriété réelle dans un délai d’un an après son entrée en vigueur.

Le FinCEN est aussi tenu de créer un registre non public conçu pour suivre les propriétaires réels des sociétés déclarantes. Le registre peut être communiqué aux organismes de maintien de l’ordre public et aux IF qui, dans certaines circonstances, doivent procéder à des contrôles diligents.

Systèmes de paiement

Les pays sont en voie de moderniser leur système de paiements instantanés. Le système PIX a été lancé au Brésil en octobre 2020 et le système FedNow Service des États-Unis est prévu pour 2023.

Canada

Dans son rapport annuel 2019 publié le 28 mai 2020, la Banque du Canada a annoncé des plans pour remplacer ses deux systèmes de paiements instantanés, soit le Système de transfert de paiements de grande valeur (STPGV) et le Système automatisé de compensation et de règlement (SACR). Le STPGV sera remplacé au deuxième trimestre de 2021 par un nouveau système de paiement de gros montants nommé Lynx, et par un nouveau système de paiement instantané lancé en 2022 et nommé Real-Time Rail (RTR).

Paiements Canada, organisme qui exploite l’infrastructure des paiements instantanés pour le Canada, a détaillé des plans pour les trois systèmes dans son plan directeur 2020-2024. Le SACR sera remplacé par une nouvelle infrastructure de paiement instantané destinée aux paiements de détail entre personnes et entreprises, mais la planification et la conception du système ne débutera qu’au courant de cette année.

Royaume-Uni

Le délai visant les exigences d’authentification forte du client de la deuxième directive pour les services de paiement (DSP2), qui devaient initialement entrer en vigueur en septembre 2019, a été prorogé par la FCA (Financial Conduct Authority) pour laisser aux commerçants le temps de se préparer. La FCA commencera à exiger l’authentification forte du client (SCA) dès le 14 septembre 2021.

Réglementation en matière de signature électronique

Australie

En mai 2020, le gouvernement australien a permis l’utilisation des documents électroniques et de la signature électronique pour conclure des contrats d'entreprise. Cette décision a depuis été repoussée au 21 mars 2021. En outre, l’Australie a annoncé son intention de modifier sa loi de 2001 sur les sociétés, ainsi que d’autres lois et règlements associés afin d’accroître les usages admissibles de la signature électronique. Ces modifications permettront l’utilisation de la signature électronique lors de l'exécution de documents juridiques et de la certification de documents officiels par vidéoconférence ou tout autre moyen technologique sécurisé.

États-Unis

À l’avantage non seulement du secteur des services financiers mais de tous les secteurs, la commission américaine des titres et des changes (la SEC) a modifié en décembre 2020 le règlement S-T et le manuel du déposant du système EDGAR (système électronique de collecte, d'analyse et de récupération des données). Cette modification permet d’utiliser la signature électronique pour les documents déposés dans EDGAR qui doivent être signés. Elle comprend aussi des révisions connexes à diverses règles et formulaires en vertu de la loi de 1933 sur les valeurs mobilières, de la loi de 1934 sur les opérations boursières et de la loi de 1940 sur les sociétés d’investissement.
Avant la modification, la règle 302(b) (Title 17, section 232.302(b)) exige que chaque signataire d’un dépôt électronique signe manuellement une page de signature ou un autre document avant le dépôt électronique ou au moment du dépôt pour authentifier ou reconnaître la signature dactylographiée qui figure au dépôt électronique ou, dans le cas contraire, l’adopter.
Selon la modification, le processus de signature doit incorporer une procédure de sécurité qui exige l’authentification de l’identité d’un signataire par un justificatif physique, logique ou numérique, et le processus de signature doit fournir les preuves suffisantes pour assurer l’acceptation obligatoire de la signature électronique.

Pour un sommaire détaillé des lois, règlements et exceptions de plusieurs pays, visitez le Guide sur la légalité de la signature électronique de OneSpan.

Règlementations en matière de confidentialité et de protection des données

Canada

Le projet de loi C-11 sur la mise en œuvre de la Charte du numérique a été présenté en 2020. Ce projet de loi vise à moderniser les lois canadiennes en matière de protection de la vie privée. Les modifications figurant à ce projet de loi exhaustif comprennent deux parties :

  • La partie 1 modifie la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) qui deviendra la Loi sur la protection de la vie privée.
  • La partie 2 établit un tribunal spécialisé en matière de confidentialité et de protection des données par la Loi sur le Tribunal de la protection des renseignements personnels et des données. Le tribunal entendra les revendications et appels de décisions du Commissariat à la protection de la vie privée du Canada.

Bien que le gouvernement ait déposé le projet de loi le 17 novembre 2020, cette loi est à surveiller de près. Si elle adoptée, l’entrée en vigueur de certaines dispositions en 2021 est peu probable; toutefois, toutes les organisations canadiennes devraient commencer à se préparer pour être en mesure de se conformer.

Nouvelle-Zélande

Les modifications à la loi de 1993 sur la protection des renseignements personnels ont été adoptées en juin 2020 et sont entrées en vigueur le 1er décembre 2020. Les dispositions de la nouvelle loi sont peu contraignantes en comparaison à celles d’autres juridictions qui élaborent leurs lois en prenant pour modèle le Règlement général sur la protection des données (RGPD) de l’UE. La loi modifiée s’applique à toutes les entreprises qui exercent leurs activités en Nouvelle-Zélande, quel que soit leur lieu d’attache.

La loi comprend de nouvelles exigences relatives à la notification des violations et à la circulation transfrontalière des données, et prévoit des amendes. Elle augmente également les pouvoirs règlementaires et d’application du Bureau de la protection de la vie privée.

Les violations à déclaration obligatoire sont celles qui présentent un risque probable de préjudice, tel que le dévoilement de renseignements personnels sensibles. La nouvelle loi affecte également la circulation transfrontalière des données car, à moins d’obtenir d’une personne l’autorisation de divulguer ses renseignements hors de la Nouvelle-Zélande, l’entreprise se doit de veiller à protéger ces renseignements avant de les transférer à l’étranger.

Singapour

En novembre 2020, des modifications à la loi sur la protection des données personnelles (la PDPA) ont été adoptée par le Parlement et sont entrées en vigueur par phases à compter du 1er février 2021. Les modifications protègent davantage le client et renforcent le degré de responsabilisation des organisations.

Parmi les modifications clés figurent :

  • la déclaration obligatoire des fuites de données
  • des pénalités applicables à de nouvelles infractions associées à des données personnelles mal gérées
  • une augmentation des sanctions pécuniaires possibles en cas de fuites de données
  • des règles supplémentaires en matière de télémarketing et de contrôle antipourriel

Parmi les modifications qui entreront en vigueur le 1er février 2021 figurent :

  • la déclaration obligatoire des fuites de données pouvant causer un préjudice notable ou toucher 500 personnes ou plus.
  • les nouvelles règles concernant les messages non sollicités et le pollupostage – applicables aux appels téléphoniques, aux textos et à la messagerie instantanée
  • la responsabilité des fournisseurs externes sous contrat avec des organismes du secteur public – désormais mis en cause en cas de données personnelles mal gérées pendant la mise en force des exigences de collecte, d’utilisation et de déclaration des données personnelles.
  • les règles applicables à l’utilisation des données et à l’innovation
  • la responsabilisation – les organisations sont responsables des données personnelles qui sont en leur possession ou dont elles ont le contrôle

Les modifications devant entrer en vigueur au cours des phases à venir comprennent la portabilité des données et l’augmentation des sanctions pécuniaires dont le plafond se situe présentement à 1 million $S (environ 742 500 $US). Pour les organisations dont les recettes annuelles générées à Singapour sont de plus de 10 millions $S, le nouveau plafond de sanction pécuniaire sera augmenté à 10 % des recettes annuelles (1 million $S minimum). La sanction maximale des organisations ayant généré des recettes annuelles de moins que 10 millions $S a été modifiée. La nouvelle sanction pécuniaire maximale sera de 1 million $S.

Afrique du Sud

La loi de 2013 sur la protection des renseignements personnels (la POPIA) est entrée en vigueur en juillet 2020 après que la banque de réserve sud-africaine (la SARB) eut encouragé les IF à agir proactivement pour se conformer aux règlements de la POPIA. La SARB commencera à faire respecter les sections 110 et 114(4) le 30 juin 2021. Ces sections traitent de la modification à la législation et du transfert des fonctions relatives à la loi sur la promotion de l'accès à l'information (la PAIA) passant de la commission sud-africaine des droits de la personne à l’autorité règlementaire en matière d’information.

États-Unis

La Californie s’est dotée de deux lois inspirées du Règlement général sur la protection des données (RGPD) de l’Union européenne. Il s’agit de la loi sur la protection des données personnelles des consommateurs (la CCPA) et de sa remplaçante, la loi sur le droit à la vie privée (la CPRA) qui entrera en vigueur le 1er janvier 2023 et sera pleinement appliquée à compter du 1er juillet 2023.

La CPRA devient exécutoire dès le 1er janvier 2023. Cependant, elle prévoit une période rétrospective de 12 mois pour les demandes d’accès. Cela signifie qu’une entreprise devrait passer l’année 2021 à définir et mettre en œuvre les protocoles de conservation des données nécessaires pour satisfaire aux dispositions relatives aux demandes d’accès de la CPRA dès le 1er janvier 2022.

La Virginie est devenue le deuxième État à adopter une législation exhaustive sur la protection des données personnelles en promulguant la loi sur la protection des données personnelles du consommateur (la CDPA) le 2 mars 2021. La CDPA entrera en vigueur le 1er janvier 2023. La CDPA établira un cadre juridique pour la collecte, le contrôle et le traitement des données personnelles. Il y a une bonne nouvelle pour les IF puisque celles qui doivent se conformer à la loi Gramm-Leach-Bliley (GLBA) en sont exemptées.

Banque ouverte

Australie

La Commission australienne de la concurrence et des consommateurs (l’ACCC) a commencé en 2020 le déploiement progressif des règles dans le cadre d'une initiative nationale de banque ouverte.

Les règles sont officiellement entrées en vigueur le 5 août 2020, et les normes sur les données prévues dans la loi en novembre 2020. Toutes les banques du pays ont jusqu’au mois de juillet 2021 pour se conformer aux obligations relatives au partage de données des consommateurs en vertu de ces nouvelles règles.

Brésil

En mai 2020, la banque centrale du Brésil (la BCB) a publié la réglementation en matière de système bancaire ouvert dans le pays en permettant le partage des données personnelles entre les IF et en intégrant les systèmes d’API des IF existantes. Le Brésil procède actuellement au déploiement en 4 phases du système bancaire pour permettre l’accès par le biais de divers canaux, produits et services.

  • Novembre 2020 : accès aux divers canaux, produits et services
  • Mai 2021 : partage des données du client
  • Août 2021 : partage de l’initiation des transactions de paiement
  • Octobre 2021 : partage de tous les autres services et renseignements

Canada

  • Le Comité consultatif sur un système bancaire ouvert, constitué en 2018, par le ministre des Finances, a été chargé de produire un rapport « sur l'évaluation des avantages éventuels d'un système bancaire ouvert au Canada, en accordant la plus grande attention à la protection des renseignements des consommateurs, à la sécurité et à la stabilité financière. »
  • Une des suggestions qui figurent au rapport de janvier 2020 recommandait d’utiliser le terme « finances axées sur les clients » (FAC) plutôt que « système bancaire ouvert ». Le Canada a lancé l’an dernier la deuxième phase de sa consultation sur les finances axées sur les clients qui met l’accent sur la sécurité des données. Le comité consultatif a lancé la phase 2 l’automne dernier en tenant une série de réunions virtuelles avec les divers intervenants. Le phase 2 met l’accent sur la manière dont les autorités règlementaires canadiennes en matière de services financiers et les IF peuvent améliorer la protection des données personnelles et atténuer les risques d’atteinte à la vie privée. Il est peu probable que les FAC soit lancées en 2021 mais les IF suivent cette affaire de près.

Mexique

En mars 2020, la banque centrale du Mexique a publié le premier ensemble de règles pour le système bancaire ouvert conformément à sa loi Fintech. Les règles initiales intègrent les bureaux de crédit et les chambres de compensation au sein du cadre bancaire ouvert. La banque centrale a publié en juin 2020 des règles sur les interfaces API de données ouvertes et on s’attend à ce qu’elle publie, au cours du premier trimestre de 2021, une réglementation secondaire en matière de données transactionnelles.

Nigéria

En février, la banque centrale du Nigéria a fait paraître son cadre règlementaire en matière de système bancaire ouvert. Ce cadre s’applique aux services bancaires ainsi qu’à d’autres services connexes. Parmi ces services figurent :

  • les services de paiement et de transfert de fonds
  • les services d’encaissement et de décaissement
  • l’acceptation des dépôts
  • les services de crédit
  • les services d’accompagnement et de gestion des finances personnelles
  • les services d’évaluation du crédit
  • les services de location avec ou sans option d’achat
  • les prêts hypothécaires

États-Unis

Le bureau de protection des consommateurs en matière financière des États-Unis (le CFPB) prévoit d’émettre, plus tard en 2021, un préavis de projet de réglementation sur l'accès autorisé des consommateurs aux données financières. Ce projet de réglementation devrait toucher tant les cabinets de services financiers classiques que les entreprises de technologie financière. D’autre part, il va dans le sens d’un système bancaire ouvert. Le préavis de projet de réglementation sollicitera un éventail d’informations dont notamment le champ d’application des données susceptibles d’être soumises à un accès protégé. De plus, il pourrait inclure de l’information susceptible de modifier d’autres dispositions relatives à l’accès telles que l’information liée à la sécurité, à la protection de la vie privée, au contrôle efficace exercé par les consommateurs sur l’accès et les données consultées, de même que les responsabilités en cas d’erreurs de données et d’accès non autorisés.

Principales réglementations relatives à la sécurité des services financiers pour l’année 2020

Réglementations en matière de cybersécurité

DSP2 : Deuxième directive de l’UE pour les services de paiement

Bien que les exigences relatives au système bancaire ouvert soient entrées en vigueur le 14 septembre 2019, l’Autorité bancaire européenne (ABE) a publié en octobre 2019 une révision de la date butoir pour se conformer aux normes techniques de réglementation en matière d’authentification forte du client et aux exigences de communication sécurisée en vertu de la DSP2. La nouvelle date limite est désormais le 31 décembre 2020. Tandis que la plupart des autorités compétentes ont suivi l’exemple de l’ABE, la FCA du Royaume-Uni, quant à elle, n’assurera pas la mise en force de l’authentification forte du client avant le 14 mars 2021. La Banque de France s’est alignée à l’ABE pour la date limite du 31 décembre, mais elle a ajouté un délai de grâce de 3 mois à accorder au cas par cas.

Parmi les critères de la DSP2 figurent :

  • L’authentification forte du client: L’authentification doit reposer sur deux facteurs ou plus, y compris les mots de passe ou NIP, les jetons ou appareils mobiles, ou les données biométriques..
  • L’analyse du risque de transaction (TRA): La DSP2 exige l’utilisation de l’analyse du risque de transaction pour prévenir les paiements frauduleux.
  • La liaison dynamique: Dans une transaction de paiement, le code d’authentification doit être lié dynamiquement tant au bénéficiaire qu’au montant de la transaction.
  • La sécurité de l’application mobile: Les prestataires de services de paiement doivent adopter des mesures de sécurité pour atténuer le risque associé aux appareils mobiles compromis. La DSP2 exige également l’adoption de mesures à même les applications pour contrer le clonage d’applications mobiles spécialisées. L’ensemble de ces mesures est également désigné par « protection contre la duplication ».

Canada – Le CANAFE a mis à jour ses directives relatives au besoin de bien connaître son client en permettant le recrutement numérique

Le recrutement numérique a rapidement été adopté à plusieurs endroits dans le monde, notamment à Hong Kong, à Singapour et aux États-Unis. Tant les IF que leurs clients ont accueilli à bras ouverts le recrutement numérique qui offre un bon équilibre entre sécurité et convivialité en toute conformité aux exigences règlementaires.

Le Canada continue de faire avancer l’identité numérique avec le développement en cours du Cadre pancanadien de fiabilité, par le Gouvernement du Canada et le Conseil canadien de l’identification et de l’authentification numérique (CCIAN).

Le 14 novembre 2019, le Centre d'analyse des opérations et déclarations financières du Canada (CANAFE) a publié une mise à jour de ses directives relatives aux exigences à satisfaire pour bien connaître son client (KYC) intitulé « Méthodes pour vérifier l'identité de personnes et pour confirmer l'existence de personnes morales ou d'entités autres qu'une personne morale ».

Le CANAFE donne son aval à différentes technologies dont notamment l’entretien vidéo en direct et l’égoportrait qui est en voie de devenir le moyen privilégié car vous pouvez « demander à la personne de prendre un égoportrait (selfie) avec la caméra de son téléphone cellulaire ou d'un autre appareil électronique, puis, au moyen d'une application de reconnaissance faciale, comparer les caractéristiques de l'égoportrait à la photo du document d'identité avec photo délivré par un gouvernement dont vous avez vérifié le caractère authentique. »

Le CANAFE souligne que « Le fait de voir une personne munie de son document d'identité avec photo délivré par un gouvernement dans une séance de clavardage vidéo ou au moyen d'un autre type d'application virtuelle n'est pas suffisant en soi. » L’IF doit également « attester le caractère authentique du document au moyen d'un logiciel ou d'autres technologies, de même que vérifier si le nom et les images vidéo correspondent au nom et à la photo de la personne figurant sur le document d'identité avec photo délivré par un gouvernement. »

Canada – Modifications à la Loi sur le recyclage des produits de la criminalité et le financement des activités terroristes (LRPCFAT)

Publiées par le CANAFE en juillet 2019, ces modifications dont un impact direct sur les bourses d’échanges des cryptomonnaies qui étaient exclues de bon nombre de réglementations.

Toutes les bourses d’échanges des cryptomonnaies établies au Canada devront, à compter du 1er juin 2020, s’inscrire auprès du CANAFE. Ces bourses seront classées comme entreprises de services monétaires (ESM), qui ont fourni par le passé des services d’échanges de devises et d’encaissement de chèques, de même que de vente de mandats.

Tout comme les IF, les bourses d’échanges de cryptomonnaies devront nommer un agent de conformité, se conformer aux politiques liées au besoin de bien connaître son client (KYC) et signaler les transactions suspectes au CANAFE. Les bourses d’échanges de cryptomonnaies pourront alors mettre à profit les dispositions relatives au recrutement numérique détaillées ci-dessus.

É.-U. – Modifications des règles sur les dispositifs de protection et la protection de la vie privée en vertu de la loi Gramm-Leach-Bliley

En 2020, la Commission fédérale du commerce (la FTC) devrait annoncer des modifications à la règle sur les dispositifs de protection et à la règle sur la protection de la vie privée en vertu de la loi Gramm-Leach-Bliley, qui exige des IF d’expliquer à leurs clients leurs politiques et pratiques d’entreprise en matière d’échange de renseignements et de protéger les données sensibles.

La réglementation mise à jour intégrera probablement les commentaires fournis sur les propositions de modification annoncées par la FTC en 2019.

En vertu de la règle sur les dispositifs de protection, les banques et les IF des É.-U. doivent mettre en œuvre des mesures pour sécuriser les renseignements personnels de leurs clients. Qui plus est, elles doivent aussi prendre des mesures pour veiller à ce que leurs filiales et fournisseurs de services mettent aussi en place des dispositifs de protection pour sécuriser les renseignements personnels qui leur sont confiés. La règle sur la protection de la vie privée exige des IF de permettre à leurs clients de ne plus consentir à partager leurs renseignements personnels avec certain tiers, après qu’on leur ait donné des explications sur les pratiques de l’organisation en matière de partage des renseignements personnels. La proposition exigerait des IF de chiffrer toutes les données des clients, d’utiliser l’authentification multifactorielle pour accéder à ces données et de mettre en œuvre davantage de mesures de contrôle des accès pour empêcher les utilisateurs non autorisés d’accéder aux renseignements personnels des clients.

Ces propositions de modification s’inspirent de la réglementation en matière de cybersécurité du département des services financiers de l’État de New York (le NYDFS) qui est entrée pleinement en vigueur en 2019. En réalité, ce ne sont pas toutes les IF des É.-U. qui sont soumises à la réglementation du NYDFS. Il existe donc toujours des lacunes en matière de sécurité et de protection de la vie privée. Cependant, puisque toutes les IF des É.-U. sont régies par la FTC, la réglementation qu’elle propose éliminera toutes ces lacunes.

Union européenne – Cinquième directive de l’UE contre le blanchiment d’argent (AMLD5)

En juillet 2018, la directive de l’UE 2018/843, cinquième version de la directive de l’UE contre le blanchiment d’argent (AMLD5), est entrée en vigueur exigeant des États membres de l’UE de transposer la directive AMLD5 dans leur droit national avant la date limite du 10 janvier 2020.
L’AMLD5 s’applique, comme les versions précédentes, aux IF dont notamment les banques et les entreprises de services monétaires (ESM). La modification importante consiste à étendre son champ d’application aux plateformes de change de devises virtuelles (VCEP) et aux fournisseurs de portefeuille (CWP) qui deviennent des entités assujetties à la réglementation de l’UE.

Les VCEP et CWP précédemment non réglementés par la directive doivent maintenant suivre les mêmes règles que toute autre organisation de services financiers qui effectue des vérifications d’identité obligatoires pour chacun de ses nouveaux clients.

En ce qui touche à la vérification de l’identité, l’AMLD5 donne son aval aux technologies numériques de vérification de l’identité.

L’article 22 précise que « L’identification et la vérification précises des données des personnes physiques et morales sont essentielles à la lutte contre le blanchiment de capitaux ou le financement du terrorisme. Les progrès techniques les plus récents enregistrés dans la numérisation des transactions et des paiements permettent une identification électronique ou à distance sécurisée. Ces moyens d’identification [...] devraient être pris en considération, en particulier en ce qui concerne les schémas d’identification électronique notifiés et les manières de garantir une reconnaissance juridique transnationale, qui offrent des outils d’un niveau élevé de sécurité et peuvent servir de référence pour contrôler les méthodes d’identification mises en place au niveau national. En outre, d’autres processus d’identification sécurisés, électroniques ou à distance, réglementés, reconnus, approuvés ou acceptés au niveau national par l’autorité nationale concernée, peuvent être pris en considération. »

Le non-respect de ces obligations peut entraîner de graves sanctions, y compris des amendes allant jusqu’à 5 millions € ou 10 % des recettes annuelles. En termes de gestion, les personnes qui ne respectent pas ces obligations pourraient se voir imposer une interdiction d’exploiter une entreprise réglementée et l’organisation pourrait se voir empêcher de négocier en raison des violations de conformité.

Réglementation en matière de confidentialité et de protection des données

Partout dans le monde, les organismes gouvernementaux considèrent l’adoption d’une nouvelle réglementation en matière de confidentialité des données. Bon nombre de ces réglementations s’inspirent du RGPD de l’UE et demande une conscience accrue des enjeux liés à la confidentialité et à la protection des données.

États-Unis – Loi sur la protection des données personnelles des consommateurs (la CCPA)

La CCPA institue de nouveaux droits relatifs à la protection de la vie privée des consommateurs et forcera les entreprises qui exercent leurs activités en Californie à mettre en place des changements structuraux dans leurs programmes visant la protection de la vie privée. Inspirée du Règlement général sur la protection des données (RGPD) de l’UE, la CCPA est entrée en vigueur le 1er janvier 2020 et mise en force à compter du 1er juillet 2020.

La CCPA s’applique à toute entreprise définie comme « une entité à but lucratif qui recueille les renseignements personnels des consommateurs (dans ce cas les résidents de la Californie) et qui satisfait à au moins un des critères suivants :

  • L’entreprise achète, reçoit, vend ou partage annuellement les renseignements personnels d’au moins 50 000 consommateurs, ménages ou appareils.
  • L’entreprise génère annuellement des produits bruts de plus de 25 millions $.
  • L’entreprise tire 50 % ou plus de ses produits annuels de la vente des renseignements personnels des consommateurs.

Parmi les dispositions clés figurent le droit du consommateur d’accéder à ses renseignements personnels, de les supprimer, de même qu’à leur portabilité. En vertu de cette loi, les consommateurs peuvent, à deux reprises sur une période de 12 mois, demander d’accéder aux renseignements personnels qu’ils ont fourni à une entreprise, de les supprimer ou de les récupérer.

Quand on pense aux interactions numériques que nous avons avec une entreprise donnée, elles engagent généralement une quantité considérable de renseignements personnels. Parmi ceux-ci figurent vos renseignements usuels tels que le nom, l’adresse, le numéro de téléphone, l’adresse courriel, l’état civil, la religion et la race, mais aussi vos renseignements numériques tels que l’adresse IP, le nom d’utilisateur, les mots de passe, les données de navigation, l’historique d’achat et les authentifiants. La liste des authentifiants comprend en outre les données biométriques telles que les données de reconnaissance faciale, les empreintes vocales et les empreintes digitales.

Pour protéger la vie privée et la sécurité des consommateurs, la loi exige que les entreprises établissent des processus opérationnels pour vérifier leur identité et leurs autorisations.

Les amendes associées aux infractions à la CCPA peuvent être très élevées. Les infractions non intentionnelles sont passibles d’une amende maximale de 2500 $ tandis que les infractions intentionnelles sont passibles d’une amende maximale de 7500 $. Pour une société multimilliardaire, ces montants dérisoires correspondent à une petite tape sur les doigts. C’est dans le droit des consommateurs à intenter des poursuites que la CCPA montre réellement les dents. En vertu de la CCPA, les consommateurs peuvent obtenir entre 100 $ et 750 $ pour chaque événement. En ces temps d’atteintes à la sécurité de grande envergure, si les préjudices sont supérieurs à 750 $, le consommateur pourrait même recevoir davantage. De telles situations peuvent se produire dans les cas où les renseignements personnels non chiffrés et non expurgés d’un client ont été compromis.

Brésil – Loi générale sur la protection des données personnelles (la LGPD)

En juillet 2019, la loi générale sur la protection des données personnelles (Lei Geral de Proteção de Dados Pessoais) (Loi no 13,709/2018) a été signée et entrera en vigueur le 15 août 2020.

La LGPD est inspirée du RGPD de l’UE et s’applique à toute personne ou entité juridique (peu importe où elle est établie) qui offre ou fournit des biens ou des services au Brésil, traite des données au Brésil ou traite des données recueillies au Brésil ou appartenant à des citoyens du Brésil.

La LGPD exige des responsables et des préposés au traitement des données d’adopter des mesures administratives, techniques et de sécurité pour protéger les données personnelles d’un accès non autorisé, de même que d’une perte, destruction, altération ou diffusion accidentelle ou illicite.

L’autorité nationale de protection des données (Autoridade Nacional de Proteção de Dados) (l’ANPD) encadrera et fera exécuter la réglementation sur la protection des données. Il est prévu que l’ANPD publie les normes techniques minimales en 2020.

Bien que le contenu des normes techniques minimales reste à voir, les banques et autres entreprises touchées qui protègent actuellement les données personnelles des clients avec des noms d’utilisateur et des mots de passe statiques devraient améliorer leurs technologies de gestion et d’authentification de l’identité pour inclure l’authentification multifactorielle.

Thaïlande – Loi sur la protection des données personnelles (la PDPA)

En mai 2019, la loi sur la protection des données personnelles B.E. 2562 (2019) a été publiée dans le journal officiel de la Thaïlande. Cette loi prévoit un délai de grâce d’un an afin de se conformer à compter du 27 mai 2020.

La PDPA comprend des dispositions pour la création du Comité sur la protection des données personnelles (le PDPC), chargé de faire exécuter la loi et de publier des lignes directrices.

La PDPA a été inspirée par divers concepts du RGPD de l’UE, mais repose également sur des concepts élaborés dans une perspective thaïlandaise. Il ne faut pas conclure qu’il s’agit de se conformer au RGPD pour se conformer à la PDPA. Je recommande un examen approfondi et minutieux des différences entre ces deux législations pour toutes les organisations bancaires qui exercent leurs activités dans les deux régions.

Tout comme dans le RGPD, le consentement des consommateurs doit être obtenu de manière simple et facile à comprendre.

Les entreprises auront besoin de consolider leurs politiques et leurs pratiques de gestion des données des clients puisque la PDPA classe le traitement des données des clients en trois catégories : la collecte des données personnelles, l’utilisation des données et la divulgation des données. Les entreprises doivent obtenir le consentement du client pour chacune de ces activités.

L’applicabilité de la PDPA est extraterritoriale, ce qui veut dire que les responsables et les préposés au traitement des données basés en Thaïlande et hors de la Thaïlande pourraient être assujettis à cette loi, affectant du même coup plusieurs banques mondiales et régionales et autres IF.
Tout comme dans le RGPD et d’autres lois sur la protection des données personnelles, la PDPA comprend des amendes très sévères pour défaut de conformité. Il s’agit d’amendes pouvant aller jusqu’à 5 millions THB pour un défaut de conformité administratif, une peine d’emprisonnement pouvant aller jusqu’à un an ou des amendes pouvant aller jusqu’à 1 million THB, et des dommages-intérêts punitifs pouvant aller jusqu’à deux fois le montant des dommages effectifs. En outre, la Thaïlande permet désormais aux personnes lésées par une mauvaise protection de leurs données d'exercer des recours collectifs, multipliant ainsi les dommages-intérêts accordés au civil en vertu de la PDPA. Le directeur de l’entreprise peut aussi être passible de sanctions.

Réglementations en matière de services bancaires et occasion à saisir

L’année 2021 marque le début d’un changement important dans la réglementation à l’échelle mondiale. Pour cette raison, il est impératif de se tenir à jour sur les modifications règlementaires, ainsi que sur les nouvelles propositions débattues dans les pays où vous exercez vos activités. Elles pourraient avoir un impact crucial sur vos démarches de transformation numérique.

Pour en savoir plus sur les solutions de sécurité et la conformité règlementaire, visitez notre page exposant le défi de la conformité.

Rapport sur le règlement financier mondial OneSpan
Rapport

Rapport sur le règlement financier mondial OneSpan

Téléchargez ce rapport 2020 pour vous tenir au courant des derniers changements réglementaires et législatifs dans le monde - concernant la signature électronique, l'identité numérique, la cybersécurité, etc.

Télécharger

Michael Magrath est chargé d'aligner la feuille de route de la solution OneSpan sur les normes et les exigences réglementaires à l'échelle mondiale. Il est coprésident du groupe de travail sur le déploiement gouvernemental de l'Alliance FIDO et siège au conseil d'administration de l'Electronic Signature and Records Association (ESRA).

Conformité règlementaire

Pour découvrir pourquoi les grandes banques font confiance à OneSpan pour répondre à des exigences de conformité complexes.

En savoir plus