Vers la fin du screen‑scraping au Canada : APIs et banque ouverte en première ligne

Le gouvernement fédéral propose d'interdire le screen‑scraping, cette technique qui permet à des tiers d'accéder aux comptes bancaires avec les identifiants des clients. Le projet de loi de mise en œuvre du budget renvoie cependant de nombreux détails aux règlements du ministère des Finances et prévoit une transition vers un système d'accès par API dans le cadre de la banque ouverte.

Qu'est‑ce que le screen‑scraping et pourquoi il est contesté

Le screen‑scraping désigne la récupération automatique de données financières en utilisant les identifiants bancaires du consommateur, comme s'il se connectait lui‑même à son compte. Cette méthode a été largement utilisée par des services de gestion de budget et des fintechs pour agréger des comptes et proposer des services innovants.

Les autorités évoquent plusieurs risques liés à cette pratique : sécurité des identifiants, responsabilités en cas d'incident, atteintes à la vie privée et perte possible des protections offertes par les banques contre les opérations non autorisées. Ces éléments expliquent la volonté de privilégier des interfaces techniques standardisées et sécurisées, généralement appelées API.

Que prévoit le projet de loi et quel rôle pour les autorités

Le texte présenté interdit, en principe, l'accès aux données client par le biais d'interfaces ou d'applications qui utilisent les identifiants personnels. Toutefois, le projet précise que l'application concrète de cette interdiction dépendra des règlements à venir du ministère des Finances.

La mise en œuvre opérationnelle est ainsi laissée à des consultations ultérieures : un porte‑parole du ministère a indiqué que l'interdiction serait appliquée « au moment et de la manière » appropriés, après échanges avec les parties prenantes. La Banque du Canada reprend la responsabilité d'enregistrer les prestataires de paiement au sein du dispositif d'ouverture des données, ce qui les soumettra à des règles plus strictes et à un mandat de favoriser la concurrence.

Réactions et points de vigilance du secteur

Plusieurs acteurs du secteur jugent l'orientation générale souhaitable mais appellent à la prudence sur le calendrier et les exceptions. Certains estiment qu'il faudrait maintenir des dérogations en cas de pannes d'API ou de portails défaillants pour éviter des conséquences financières pour les usagers. D'autres considèrent que le screen‑scraping n'est pas une solution de secours adaptée et promeuvent des alternatives techniques privées fondées sur des API.

Le débat porte aussi sur l'uniformité d'adoption : si les banques majeures n'ouvrent pas leurs API, nombre de clients pourraient rester dépendants du screen‑scraping. Le transfert vers des API vise à réduire les zones grises et la « zone grise » du marché, mais exposera aussi les usagers à de nouvelles dépendances techniques si la mise en œuvre n'est pas complète.

Conséquences pratiques pour les usagers et calendrier prévisionnel

Parmi les mesures prévues par le texte figurent l'interdiction pour les établissements financiers de facturer le partage de données et l'obligation, pour les détenteurs de données, de ne pas imposer de conditions supplémentaires au moment de la demande d'accès.

Le gouvernement vise la mise en place d'un accès en lecture et d'un système de paiement instantané dès l'année suivante, tandis que la capacité d'écriture sur les comptes serait ciblée pour 2027, ces échéances restant toutefois soumises à la finalisation des règlements. En pratique, cela signifierait que les consommateurs pourraient consulter et transférer leurs données via des API sécurisées avant de disposer d'actions plus avancées (écritures) sur leurs comptes.

Ce qui reste à confirmer

• Le calendrier précis des consultations et de l'entrée en vigueur de l'interdiction dépendra des règlements du ministère des Finances et n'a pas été rendu public.
• Le texte laisse ouverte la possibilité d'exceptions ; les conditions précises de ces dérogations (pannes d'API, incidents techniques) devront être détaillées par voie réglementaire.
• La façon dont la transition affectera les clients de banques qui tarderaient à adopter les API reste incertaine et dépendra de l'étendue de l'application des nouvelles règles.

À retenir

• Le projet de loi fédéral propose d'interdire le screen‑scraping et de promouvoir l'accès aux données par API dans le cadre de la banque ouverte.
• Des garanties sont prévues pour empêcher la facturation du partage de données et pour encadrer les conditions d'accès.
• La Banque du Canada aura un rôle d'enregistrement et de régulation des prestataires de paiement avec un mandat de favoriser la concurrence.
• Le calendrier (accès en lecture et paiements instantanés, puis écriture en 2027) est visé mais reste conditionnel aux règlements et aux consultations.
• Des questions techniques et pratiques persistent, notamment sur les exceptions en cas de panne d'API et sur la transition pour les clients de banques non participantes.

Article amélioré avec l'IA - Article original