Principaux règlements bancaires et exigences de conformité en matière de sécurité
En 2021, les décideurs politiques gouvernementaux et organismes de réglementation ont été bien occupés : ils avaient pour priorités claires d’améliorer la cybersécurité, de renforcer les identités numériques et l’authentification en ligne et de protéger les clients dans un contexte où la migration vers le numérique se poursuit avec les paiements et les cryptomonnaies.
Dans ce blogue, nous présentons une liste des principaux règlements, politiques et lois internationaux qui auront une incidence sur les institutions financières, les entreprises de technologies financières, les systèmes de paiement, les banques commerciales, les prêteurs, les emprunteurs, les sociétés de gestion d’actifs et le secteur bancaire dans son ensemble.
Pour voir une liste complète, veuillez consulter le Rapport 2022 de OneSpan sur les règlements financiers internationaux, accessible en ligne et pour téléchargement.
Table des matières :
Cybersécurité
ÉTATS-UNIS
En novembre, le Federal Reserve Board, la Federal Deposit Insurance Corporation (FDIC) et l’Office of the Comptroller of the Currency (OCC) ont publié une décision définitiveobligeant les « organisations bancaires » à signaler à leur principal organisme de réglementation fédéral certains types d’incidents liés à la sécurité informatique. La décision exige également, de façon distincte, que les « fournisseurs de services bancaires informent leurs clients le plus rapidement possible en cas d’incident, quel qu’il soit, qui a une incidence importante sur ces clients pendant quatre heures ou plus ou qui est susceptible d’avoir une telle incidence. » Les fournisseurs de services bancaires comprennent toute entreprise de services bancaires ou autre personne qui offre des services bancaires soumis à la Bank Service Company Act. Le règlement entrera en vigueur le 1er avril 2022, et les organisations bancaires et leurs fournisseurs de services bancaires devront s’y conformer au plus tard le 1er mai 2022.
En août, le Federal Financial Institutions Examination Council (FFIEC) a mis à jour ses directives d’authentification et d’accès aux services et systèmes des institutions financières (Authentication and Access to Financial Institution Services and Systems Guidance) pour la première fois en 10 ans. Ces directives encouragent les IF à identifier les utilisateurs et clients qui nécessitent des mesures de contrôle en matière d’authentification et de gestion des accès, en plus des utilisateurs et clients qui pourraient nécessiter des mesures plus poussées dans ces domaines, notamment l’authentification multi-facteurs (AMF). Le FFEIC indique également que l’authentification à un seul facteur, normalement ce que les gens appellent un nom d’utilisateur et un mot de passe statique, est insuffisante. Il déclare ce qui suit :
« Les attaques contre les systèmes et les utilisateurs protégés par une authentification à un seul facteur conduisent souvent à un accès non autorisé, ce qui mène au vol ou à la destruction de données et aux impacts défavorables associés aux rançongiciels, à la fraude touchant le compte du client et au vol d’identité. Par conséquent, l’authentification à un seul facteur comme seul mécanisme de contrôle s’est avérée inadéquate comme protection contre ces mesures. »
Le FFEIC souligne également l’importance de la vérification de l’identité, une composante cruciale des règlements de connaissance du client (KYC). Le FFEIC insiste sur le fait que « les méthodes d’identification fiables ne dépendent généralement pas uniquement des questions fondées sur les connaissances pour vérifier l’identité. » Nous sommes d’accord avec le FFEIC et recommandons des méthodes numériques d’identification de l’identité, comme la vérification des pièces d’identité et la comparaison faciale.
En octobre 2021, la Federal Trade Commission a publié une mise à jour à la règle « Safeguards Rule » en vertu de la loi Gramm-Leach-Bliley, qui stipule que les institutions financières non bancaires relevant de la compétence de la FTC doivent protéger les renseignements financiers de leurs clients. Les banques, les sociétés de portefeuille bancaire et leurs filiales sont soumises à des directives et normes distinctes publiées par des organismes de réglementation bancaires fédéraux, notamment l’OCC, la Fed et la FDIC. La mise à jour s’applique aux institutions qui « prennent part à des activités financières », notamment les concessionnaires automobiles, les évaluateurs de biens immobiliers, les spécialistes en déclarations de revenus, les conseillers en placement et les collèges et universités qui participent à des programmes fédéraux de soutien financier. La règle « Safeguards Rule » mise à jour pourrait également s’appliquer — en plus de s’appliquer aux entités soumises à la règle actuelle — aux fournisseurs de services Internet, à l’économie à la demande et aux marchés en ligne.
La règle à jour exige désormais qu’une authentification mutli-facteurs (AMF) soit faite chaque fois qu’une personne — un employé, un client ou autre — accède à un système d’information.
La FTC a imposé d’importantes sanctions en cas de non-conformité, soit des amendes de 43 792 $ par infraction, par jour.
Cryptomonnaies
GROUPE D’ACTION FINANCIÈRE (GAFI)
Le GAFI a publié de nouvelles directives en octobre au sujet des actifs virtuels et des fournisseurs d’actifs virtuels (FAV), qui ont préséance sur celles qu’il avait émises en 2019. Trente-neuf territoires de compétence membres doivent inscrire les fournisseurs ou leur attribuer des permis et s’assurer qu’ils sont supervisés ou surveillés par des organismes de réglementation financiers. Les directives s’appliquent aux cryptomonnaies stables et stipulent que certaines des entités qui prennent part à des ententes liées aux cryptomonnaies stables pourraient être admissibles à la désignation de FAC en vertu des normes du GAFI. Nous prévoyons qu’en 2022, de nombreux territoires de compétence mettront leurs règlements à jour pour se conformer aux directives du GAFI.
ESTONIE
En décembre 2021, le gouvernement a approuvé un avant-projet de loi visant à renforcer les règlements portant sur les FAV, conformément aux nouvelles directives du GAFI. Comme indiqué sur le site Web du ministère des Finances :
« Cet avant-projet de loi rend la réglementation des FAC plus à l’image de ce que font les institutions de cryptomonnaies et les fournisseurs de services de paiement, mais ne touche pas directement les clients ou les personnes qui utilisent des portefeuilles privés pour détenir des cryptomonnaies. Cependant, les FAV de l’Estonie ne sont pas autorisés à fournir des services anonymes et doivent identifier leurs clients (...). Les renseignements permettant d’identifier une personne doivent être conservés d’une manière qui leur permettra d’être liés à la transaction, comme c’est le cas pour les transferts bancaires. »
Nous prévoyons que le projet de loi sera adopté par le Parlement et entrera en vigueur pendant la première moitié de 2022.
UNION EUROPÉENNE
La proposition de Règlement sur le marché des cryptoactifs (MCA) a pour but de définir un cadre réglementaire exhaustif pour les cryptoactifs et à renforcer la sécurité et l’uniformité juridiques à l’échelle de l’UE. Les principales priorités de ce règlement sont la transparence, la protection des consommateurs, la prévention des abus de marché, l’autorisation et la supervision. En vertu des définitions de ce règlement, les cryptoactifs se divisent en trois catégories : les jetons de monnaie électronique, les jetons se référant à ces actifs, et une troisième catégorie qui regroupe tous les autres types de jetons comme les jetons utilitaires et les cryptomonnaies stables. Les émetteurs seront soumis à des exigences réglementaires qui dépendront du type de cryptoactifs qu’ils vendent; tous les émetteurs de jetons de monnaie électronique et de jetons se référant à des actifs devront être établis dans l’UE et être autorisés par l’UE à cette fin. Le processus législatif associé au MCA devrait être terminé au cours des premiers mois de l’année 2022. Les États membres devront probablement mettre en place le nouveau règlement en 2024.
JAPON
En 2021, l’Agence des services financiers du Japon (FSA) a annoncé qu’elle avait l’intention de mettre en place la « règle de voyage » du Groupe d’action financière (GAFI), conformément à ses directives relatives aux actifs virtuels (AV) et aux FAV. Selon la Règle de voyage, les expéditeurs (émetteurs) des transferts de fonds numériques doivent échanger des données d’identification avec les destinataires (bénéficiaires) de ces transferts. Cette règle vise donc à prévenir le blanchiment d’argent et le financement des organismes terroristes en diminuant le caractère anonyme des transactions électroniques de fonds et de cryptomonnaies.
Les renseignements demandés sont étroitement liés aux normes d’information de diligence raisonnable relatives aux clients, et comprennent le nom, l’adresse, la date de naissance, le lieu de naissance, le numéro de compte et le numéro d’identité de l’émetteur. De plus, le nom et le numéro de compte ou numéro de portefeuille virtuel du bénéficiaire font partie des renseignements exigés en vertu de cette règle. La règle entrera en vigueur en 2022.
PÉROU
En décembre 2021, le « Cadre de marketing des cryptoactifs » a été présenté au Congrès.
Ce cadre définit les exigences que chaque FAV doit respecter pour pouvoir exercer ses activités. La loi comprend la création d’un registre public des FAV auquel les Péruviens peuvent accéder pour déterminer si les marchés boursiers ou plateformes sont inscrits.
Cette loi exigerait également que les FAV informent les utilisateurs, en vertu d’un contrat, que le Pérou ne reconnaît pas les cryptomonnaies comme des monnaies ayant cours légal et que la supervision de ces actifs par le gouvernement n’est pas une garantie contre les risques que les transactions de cyptomonnaies peuvent poser aux utilisateurs. Nous prévoyons que cette loi sera adoptée en 2022.
TURQUIE
À la fin de décembre, le président Erdoğan a confirmé qu’un avant-projet de loi sur les cryptomonnaies était terminé et qu’il serait bientôt présenté au Parlement afin que la loi soit adoptée officiellement au pays.
La Turquie accélère la définition de règlements sur les cryptomonnaies depuis que deux bourses de cryptomonnaies, Thodex et Vebitcoin, se sont effondrées en 2021 et que les Turcs ayant investi dans les cryptomonnaies ont été incapables d’accéder à leurs comptes après cet effondrement.
Il est attendu que la loi prévoie la mise en place d’une banque centrale dépositaire dans le but de limiter les risques de crédit. Nous nous attendons à ce que ce projet de loi soit rapidement adopté par le Parlement et qu’il entre en vigueur en 2022.
ÉTATS-UNIS
Les cryptomonnaies sont, de toute évidence, dans la mire des organismes de réglementation fédéraux. Le 23 novembre 2021, les organismes de réglementation bancaire fédéraux des États-Unis ont publié une déclaration conjointe sur l’initiative « éclair » relative aux cryptoactifs et sur étapes à venir (texte en anglais seulement); cette initiative est un projet interorganismes axé sur la participation des banques et sociétés de portefeuille bancaire réglementées aux activités liées aux cryptoactifs. Comme l’indique cette déclaration conjointe :
« Les organismes prévoient, tout au long de 2022, préciser si certaines activités liées aux cryptoactifs menées par les organisations bancaires sont légalement admissibles, et fournir plus de détails sur les attentes en matière de sécurité, d’intégrité, de protection des consommateurs et de conformité aux lois et règlements en vigueur associées à ce qui suit :
- La garde des valeurs des cryptoactifs et les services traditionnels de garde;
- Les services de garde auxiliaires;
- La facilitation des achats et ventes de cryptoactifs par les consommateurs;
- Les prêts adossés à des cryptoactifs;
- L’émission et distribution de cryptomonnaies stables;
- Les activités impliquant la détention de cryptoactifs dans le bilan.
Les organismes évalueront également l’application, pour les cryptoactifs, des normes relatives aux fonds propres et liquidités bancaires, en ce qui a trait aux activités auxquelles participent les organisations bancaires des États-Unis; ils continueront également d’échanger avec le Comité de Bâle sur le contrôle bancaire au sujet de son processus consultatif dans ce domaine. »
Par ailleurs, Michael Hsu, Contrôleur de la monnaie par intérim, a demandé que soient adoptés des règlements sur les activités bancaires mettant en jeu des cryptomonnaies; il a également fait part de préoccupations à l’effet que « les fournisseurs de services bancaires synthétiques (SBP), qui exercent leurs activités hors de la portée des organismes de réglementation bancaire, sans devoir suivre de règles bancaires », sont très actifs dans le milieu des cryptomonnaies, et souligné la nécessité que les SBP soit tenus de respecter les normes bancaires. Compte tenu de ces activités, nous prévoyons qu’un préavis de projet de réglementation (PPR) englobant toutes les cryptomonnaies sera publié lors de la deuxième moitié de 2022.
Cryptomonnaies de banques centrales (CBC)
CHINE
Le yuan numérique de la Chine, « e-CNY », devrait faire son entrée sur le marché au premier trimestre de 2022. Contrairement à certaines CBC en cours de création qui complètent l’argent comptant, l’e-CNY est conçu pour remplacer les billets et pièces de monnaie déjà en circulation. Au début de janvier, la banque centrale a lancé une version pilote d’application de portefeuille pour l’e-CNY sur les magasins d’applications, afin d’en étendre l’utilisation dans 10 régions de la Chine.
NIGÉRIA
En octobre 2021, la Banque centrale du Nigéria (BCN) a lancé l’« eNaira » — une cryptomonnaie de banque centrale (CBC). Le Nigéria pourrait servir de « plateforme de lancement » aux CBC sur le continent africain. À l’heure actuelle, le Ghana, l’Afrique du Sud et la Tunisie mènent des projets pilotes de CBC. Le Zimbabwe, la Namibie, le Madagascar, le Rwanda, la Maurice, le Maroc et le Kenya en sont à l’étape de la recherche.
SUÈDE
Le lancement de la phase pilote de l’e-Krona découle en partie de la diminution de l’argent comptant en Suède et du désir de protéger les consommateurs contre des perturbations futures du système monétaire. Toutefois, certains banquiers suédois craignent qu’une CBC nuise à la stabilité financière en favorisant les ruées sur les banques. La Riksbank devrait parvenir à une conclusion sur l’utilisation possible de l’e-Krona en novembre 2022.
Intelligence artificielle
UNION EUROPÉENNE
Dans le cadre de la stratégie européenne en matière de données, la Commission européenne a publié une proposition de règlement de grande portée de 108 pages pour réglementer l’utilisation de l’IA, la législation sur l’intelligence artificielle, qui accorde une attention particulière aux systèmes et contextes « à risque élevé ». Ce règlement s’appliquerait à tous les fournisseurs et utilisateurs situés dans l’UE, ainsi qu’aux fournisseurs étrangers dont les services sont utilisés au sein de l’UE. La proposition doit encore passer par les diverses étapes de la procédure législative de l’UE. Cette proposition ne se concrétisera probablement pas en 2022, mais elle mérite une attention particulière, puisqu’elle devrait être à l’avant-garde des règlements sur l’IA à l’échelle mondiale, un peu de la même manière que le GDPR l’a été pour la protection des données.
ÉTATS-UNIS
Le gouvernement fédéral, y compris les organismes de réglementation financiers, a accordé une grande attention à l’IA en 2021.
En mars 2021, les organismes de réglementation financiers ont publié une demande de renseignements (DR) au sujet de l’utilisation que les IF font de l’IA, y compris l’apprentissage automatique. La DR avait pour but :
« de comprendre les points de vue des répondants sur l’utilisation de l’IA par les institutions financières dans le cadre de la prestation de leurs services aux consommateurs et à d’autres fins commerciales ou opérationnelles; sur la gouvernance, la gestion des risques et les mesures de contrôle appropriées en matière d’IA; et sur tout défi que pose le développement, l’adoption et la gestion de l’IA. »
Également en mars, la National Security Commission on Artificial Intelligence a publié un rapport final (texte en anglais seulement) décrivant une stratégie visant à « gagner la compétition technologique générale » dans le domaine de l’IA.
En avril dernier, la Federal Trade Commission (FTC) a publié un article de blogue (en anglais seulement) portant sur « la façon de parvenir à la vérité, à l’honnêteté et à l’équité en ce qui a trait à l’utilisation de l’IA dans votre entreprise », qui offre des conseils pour éviter les résultats défavorables comme les préjugés raciaux.
En juillet, le NIST a publié une DR pour obtenir de la rétroaction dans le contexte où il élabore une ébauche de cadre de gestion des liés à l’intelligence artificielle, un « document d’orientation à utilisation volontaire conçu pour aider les concepteurs, utilisateurs et évaluateurs de technologies à améliorer la fiabilité des systèmes d’IA ».
En octobre, l’Office of Science and Technology Policy (OSTP) de la Maison-Blanche a publié une DR axée sur l’utilisation des technologies biométriques aux fins de vérification de l’identité, de l’identification des personnes et de la déduction des caractéristiques, y compris les états mentaux et émotionnels des individus. Selon l’OSTP, la DR a pour objectif :
« de comprendre la portée et la diversité des technologies biométriques pour leurs utilisations passées, actuelles ou prévues; les domaines dans lesquels ces technologies sont utilisées; les entités qui y font appel; les principes, pratiques ou politiques actuels qui gouvernent leur utilisation; et les parties prenantes qui sont, ou pourraient être, touchées par l’utilisation ou la réglementation de ces technologies. »
Compte tenu de ces nombreuses circonstances, nous prévoyons que des activités réglementaires liées à l’IA se dérouleront en 2022.
Identité numérique
DANEMARK
MitID, l’infrastructure tant attendue d’identité numérique, remplacera NemID. MitID est censée être plus polyvalente et plus sécurisée que son prédécesseur. Comme il s’agit d’une application, MitID peut être utilisée pour autoriser les ouvertures de session et les paiements. Une fois que MitID aura fait l’objet d’essais suffisants, elle sera lancée partout au Danemark, avec une période de transition de 6 mois jusqu’à ce que NemID soit entièrement retirée. En raison de délais, la solution sera probablement prête à l’été 2022.
CANADA
Le Cadre de confiance pancanadien (CCPC), attendu depuis longtemps et piloté par le Conseil d’identification et d’authentification numériques du Canada (CCIAN), lancera son programme de marque de confiance Voilà Vérifié en 2022. Les marques de confiance seront remises aux organisations qui démontrent qu’elles sont conformes aux composantes du CCPC.
UNION EUROPÉENNE
Même s’il faudra encore quelques années avant que l’initiative grandement publicisée du portefeuille numérique de l’Union européenne soit mise en place, en 2022, les priorités seront d’identifier précisément les architectures, les normes et les références, ainsi que les lignes directrices et les pratiques exemplaires pour cette initiative. Vers la fin de l’année, la Commission européenne publiera une « boîte à outils » que les États membres et d’autres parties pourront utiliser.
En décembre 2021, l’Autorité bancaire européenne a publié une ébauche des Orientations sur l’intégration des clients à distance afin de recueillir les commentaires du public. Plusieurs États membres ont déjà adopté une intégration à distance qui fait appel à la vérification biométrique de l’identité et à des solutions de vérification des documents. Sans surprise, les organismes de réglementation des États membres adoptent différentes approches, comme l’autorisation d’utiliser des égoportraits ou l’interdiction de ces égoportraits au profit de la vidéo. Il faudra voir ce que les orientations finales de l’ABE comprendront. La période de commentaires se déroule jusqu’au 10 mars 2022, et les orientations finales seront probablement prêtes pendant la deuxième moitié de 2022.
SUISSE
Le Conseil fédéral du gouvernement de la Suisse a annoncé qu’il prévoyait créer des infrastructures publiques d’identité électronique qui seront fondées sur les principes d’identité autosouveraine (IAS). Même si ces infrastructures appartiendront au gouvernement, on s’attend à ce que les membres du secteur privé jouent un rôle important, à titre de fournisseurs d’identité, d’agents, de parties utilisatrices ou de fournisseurs de portefeuille d’identité. Il est prévu que le projet de loi relatif à l’identité numérique en Suisse soit présenté en 2022.
ÉTATS-UNIS
Au début de 2022, le National Institute of Standards and Technology devrait publier une ébauche de la version mise à jour de ses lignes directrices sur l’identité numérique afin d’obtenir la rétroaction du public. Il s’agira de la première mise à jour de ces lignes directrices depuis 2017. Bien que les organismes et sous-traitants du gouvernement fédéral américain aient l’obligation de se conformer aux lignes directrices du NIST, bon nombre d’organisations publiques et privées du monde entier, y compris celles du secteur financier, les ont adoptées par le passé. Il n’est pas prévu que la révision soit majeure; cependant, comme l’administration Biden déploie des efforts pour contrer les attaques d’hameçonnage au moyen d’authentifications à l’épreuve de l’hameçonnage, nous nous attendons à observer une différenciation parmi les authentifications faisant partie de la catégorie « Authenticator Assurance Level 2 » (AAL2).
Protection des données
JAPON
Des amendements aux règlements de mise en application de la Loi sur la protection des renseignements personnels (LPRP) ont été publiés en 2021 et entreront en vigueur le 1er avril 2022.
La LPRP amendée renforce les droits des personnes concernées et impose de nouvelles exigences aux entités qui traitent des données personnelles. Elle oblige ces entités à signaler les fuites de données à la
Personal Information Protection Commission (PPC), élargit la portée des pouvoirs de la PPC pour qu’elle puisse demander des rapports ou enquêter sur des sociétés étrangères, augmente les sanctions en cas de non-conformité et introduit le concept de pseudonymisation.
La pseudonymisation est une méthode de gestion de données selon laquelle les données permettant d’identifier personnellement un individu sont remplacées par un pseudonyme, ce qui protège les droits de cet individu et permet aux entités qui traitent ces données de les utiliser plus facilement. La LPRP amendée augmente également la portée des droits des personnes concernées en ce qui a trait à la suppression des données personnelles et à la cessation de l’utilisation de ces données, et permet aux personnes concernées de choisir la méthode de réception de leurs données (par écrit ou par courriel), en vertu du droit d’accès.
Tout comme le règlement GDPR de l’Union européenne, la LPRP du Japon a une portée extraterritoriale : elle s’applique à toutes les entités qui traitent les données personnelles des citoyens japonais, quel que soit l’emplacement physique de ces entités. La LPRP amendée permet à la PPC d’exiger que les entités étrangères touchées par la loi rendent compte de leurs activités de traitement des données, et la PPC sera en mesure de leur imposer des sanctions en cas de non-conformité.
SUISSE
Adoptée en 202, la Loi révisée sur la protection des données (LRPD) de la Suisse met en œuvre bon nombre des dispositions du règlement GDPR, tout en autorisant d’importantes différences. La Loi révisée entrera en vigueur pendant la seconde moitié de 2022.
En vertu de la Loi, les entreprises auront l’obligation de signaler immédiatement toute fuite de données grave au Préposé fédéral à la protection des données et à la transparence (PFPDT); d’effectuer des évaluations des impacts pour la protection des données avant de procéder au traitement potentiellement risqué de données; d’obtenir une approbation avant de faire appel à des sous-traitants; et de publier un avis de confidentialité chaque fois que des données sont recueillies. Contrairement au règlement GDPR, en vertu de cette Loi, les contrôleurs de données ont la possibilité — mais pas l’obligation — de nommer un administrateur de la sécurité des données. S’il y a infraction de la LRPD, les personnes — plutôt que l’entreprise — pourraient être soumises à des sanctions pénales.
THAÏLANDE
En raison de la pandémie de COVID-19, le cabinet du gouvernement thaïlandais a repoussé l’entrée en vigueur de la Loi sur la protection des données personnelles (LPPD) au 1er juin 2022. La LPPD, qui a été publiée en mai 2019, s’appuie sur le règlement de protection générale des données (GDPR) de l’Union européenne et décrit les exigences liées au traitement des données personnelles et les responsabilités des contrôleurs de données et préposés au traitement des données. La loi a une portée extraterritoriale; elle s’applique donc à toute entité qui utilise les données personnelles d’un citoyen thaïlandais, même si cette entité n’est pas établie en Thaïlande. Dans le cas des transferts interfrontaliers de données personnelles, le pays destinataire doit se conformer « à des normes adéquates en matière de protection des données ». La LPPD mettra également sur pied une agence nationale de protection des données qui surveillera la conformité; cette agence sera appelée le « Personal Data Protection Committee » (PDPC).
Mesures anti-blanchiment d’argent et financement des organismes anti-terrorisme
UNION EUROPÉENNE
Au printemps dernier, l’Autorité bancaire européenne a lancé une consultation publique sur une ébauche de normes réglementaires techniques (NRT) qui serviront à mettre en place une base de données centrales sur les mesures anti-blanchiment d’argent et le financement des organismes anti-terrorisme. Après avoir obtenu les commentaires du public, en décembre, l’ABE a publié un rapport final (en anglais seulement). Les NRT ont pour but de définir les règles qui protègent l’efficacité et la confidentialité de la base de données, base qui aiderait à coordonner et harmoniser l’approche de l’UE en matière de mesures anti-blanchiment d’argent et de financement des organismes anti-terrorisme. Cette base de données serait particulièrement importante, puisque les directives liées aux mesures anti-blanchiment d’argent dans l’UE sont discrétionnaires — c’est-à-dire que les États membres peuvent les transposer sous forme d’une loi nationale et les mettre en œuvre de différentes façons — ce qui n’a pas nécessairement permis l’adoption d’une approche paneuropéenne. Dans un contexte où la cybercriminalité devient de plus en plus sophistiquée et plus répandue à l’échelle internationale en raison d’une numérisation accrue, une base de données centrale facilitera la mise en œuvre des mesures anti-blanchiment d’argent et du financement des organismes anti-terrorisme partout dans l’Union européenne. Les NRT garantiront également que la base de données est conforme aux lois en matière de protection des données.
L’ABE présentera ces ébauches de NRT à la Commission européenne à des fins d’approbation. Une fois approuvées, ces normes s’appliqueront directement à tous les États membres. Selon la vitesse à laquelle ce processus se déroulera, les NRT pourraient être approuvées par la Commission en 2022.
ÉTATS-UNIS
En décembre, le Department of Treasury’s Financial Crimes Enforcement Network (FinCen) a publié un préavis de projet de réglementation (PPR) relativement aux exigences de publication des renseignements sur la propriété bénéficiaire (texte en anglais seulement). Le règlement proposé fera entrer en vigueur l’article 6403 de la Corporate Transparency Act, loi promulguée dans le cadre de la National Defense Authorization Act pour l’exercice financier 2021. Lorsqu’il sera finalisé, il obligera les entités à présenter les renseignements sur la propriété bénéficiaire et sur les sociétés requérantes au FinCEN afin de favoriser la prévention du blanchiment d’argent, du financement des organisations terroristes, de la fraude fiscale et des autres activités illégales et de lutter contre toutes ces activités. Selon ce qu’indique cette annonce,
« Le règlement proposé porte sur les éléments suivants : (1) les entités qui doivent présenter un rapport; (2) le moment où le rapport doit être présenté; et (3) les renseignements qu’elles doivent fournir. La collecte de ces renseignements et l’accès accordé aux autorités de maintien de l’ordre, à la collectivité du renseignement et à d’autres parties prenantes clés diminuera la capacité des entités mal intentionnées à brouiller les pistes de leurs activités à l’aide de coquilles vides et de sociétés prête-nom fictives. »
La période de consultation du public se termine le 7 février et nous prévoyons que le FinCen publie un règlement final quelque part en 2022.
Également en décembre, le FinCen a publié une demande de renseignements au sujet de la modernisation du cadre réglementaire relatif aux mesures anti-blanchiment d’argent et au financement des organismes anti-terrorisme (texte en anglais seulement). Le FinCEN cherche à trouver des façons de moderniser les règlements et directives fondés sur le risque relatifs aux mesures anti-blanchiment d’argent et au financement des organismes anti-terrorisme (ABA/FOAT), publiés en vertu de la Bank Secrecy Act (BSA). Cet examen formel permettra également au FinCEN de déterminer quels règlements et directives sont obsolètes ou redondants, lesquels ne favorisent pas un cadre réglementaire ABA/FOAT pour les institutions financières, et lesquels ne respectent pas les engagements des États-Unis à répondre aux normes en matière d’ABA/FOAT. La période de consultation du public se termine le 14 février 2022, et un préavis de projet de réglementation (PPR) pourrait être émis en fin d’année 2022.
Guichets automatiques avec biométrie
ARGENTINE
En janvier 2021, la banque centrale a publié une circulaire présentant des règles relatives à l’accès aux guichets automatiques par l’entremise de lecteurs d’empreintes digitales. En vertu de ces nouvelles règles, les utilisateurs doivent ouvrir une session sur un guichet automatique à l’aide de « quelque chose qu’ils connaissent » — un NIP ou une carte d’identité (DNI) — en plus de leurs empreintes digitales. Les règles entreront en vigueur selon une approche par étapes. Au 31 décembre 2021, 35 % des guichets automatiques devaient être dotés d’un lecteur biométrique; cette proportion doit atteindre 60 % au plus tard le 20 juin 2022, et d’ici le 31 décembre 2022, tous les guichets automatiques devront être munis d’un lecteur biométrique.
Signature électronique
JAPON
En vertu d’une décision prise par le premier ministre Suga en octobre 2020, les banques et les autres institutions financières devront utiliser des technologies de signature électronique et numériser leurs formulaires d’ici la fin de 2022. Par le passé, les entreprises présentaient leurs documents imprimés à la Financial Services Agency, ce qui a diminué l’efficacité et fait augmenter les coûts.
ÉMIRATS ARABES UNIS
En septembre 2021, la Loi-décret fédérale no 46/2021 sur les transactions électroniques et les services de confiance a été adoptée, abrogeant ainsi la Loi fédérale no 1/2006 sur le commerce électronique et les transactions, qui était entrée en vigueur 15 ans plus tôt. Afin de soutenir les efforts de transformation numériques des ÉAU, la nouvelle loi encourage et facilite l’utilisation de tous types de transactions électroniques, tout en protégeant les droits des consommateurs qui entreprennent de telles transactions.
En vertu de cette loi, les services de confiance comprennent : la création de signatures électroniques; la délivrance de certificats d’authentification pour les signatures électroniques qualifiées; la création d’estampilles électroniques; la délivrance de certificats d’authentification pour les estampilles électroniques qualifiées; et la délivrance de certificats d’authentification pour les sites Web.
La nouvelle loi est entrée en vigueur le 2 janvier 2022. Cette loi prévoit un délai de grâce d’un an pour que les entreprises puissent s’y conformer.
ÉTATS-UNIS
La notarisation en ligne à distance (NLD) continue d’être adoptée à grande échelle. À ce jour, 39 États ont adopté des lois sur la NLD; le gouverneur de l’État de New York est le dernier à avoir promulgué le 22 décembre 2021 une loi qui mettra en place des mesures permanentes en matière de NLD. La loi de l’État de New York entrera en vigueur le 20 juin 2022.
L’État de New York se joint ainsi à l’Alaska, à l’Arizona, à l’Arkansas, au Colorado, à la Floride, à Hawaii, à l’Idaho, à l’Illinois, à l’Indiana, à l’Iowa, au Kansas, au Kentucky, à la Louisiane, au Maryland, au Michigan, au Minnesota, au Missouri, au Montana, au Nebraska, au Nevada, au New Hampshire, au Nouveau-Mexique, au New Jersey, au Dakota du Nord, à l’Ohio, à l’Oklahoma, à l’Oregon, à la Pennsylvanie, au Tennessee, au Texas, à l’Utah, au Vermont, à la Virginie, au Washington, à la Virginie-Occidentale, au Wisconsin et au Wyoming.
Les États ont commencé à adopter des mesures de NLD dans un contexte où la pandémie de COVID-19 a entraîné la création de règles de distanciation physique et obligé les entreprises à faire passer leurs activités en ligne. Les mesures de chacun de ces États comprennent les mêmes éléments fondamentaux, notamment l’utilisation de méthodes de communication audiovisuelle, l’enregistrement de la communication audiovisuelle et l’authentification du signataire par le notaire.
Banques ouvertes
BRÉSIL
La quatrième et dernière étape du déploiement des services bancaires ouverts au Brésil a débuté à la mi-décembre. Cette étape est d’une grande importance, car elle a marqué le début de la migration des services bancaires ouverts vers les services financiers ouverts avec l’ajout de produits de placement, de produits d’assurance et d’opérations de change dans les exigences sur les renseignements à partager avec les API tierces de confiance avec l’autorisation du consommateur. Ces produits complètent ceux déjà inclus, soit les hypothèques, les comptes d’épargne/chèques, les régimes de retraite et les cartes de crédit.
L’une des composantes clés de cette quatrième étape est l’obligation, pour les API associées à des produits financiers, d’être partagées pour faire l’objet d’un processus de certification. Ce processus permettra de garantir que l’API est conforme aux exigences de la Banque centrale en matière de technologies.
Dates limites pour la certification :
- 4 mars 2022 : assurances, régimes supplémentaires ouverts de retraite et capitalisation
- 11 mars 2022 : services d’accréditation pour les ententes de paiement
- 18 mars 2022 : opérations boursières
- 25 mars 2022 : comptes de dépôt à terme et autres instruments de placement
Le 31 mai 2022, la deuxième phase de l’étape 4 commencera et les consommateurs seront en mesure de fournir leur consentement au partage des données à partir de cette date. À ce moment-là, les services financiers ouverts seront visibles à tous les consommateurs, puisqu’il sera possible de consentir au partage des données pour l’ensemble des institutions participant aux services et rendues accessibles par l’entremise du modèle. Le déploiement des services financiers ouverts devrait être terminé le 30 septembre 2022.
CANADA
En août 2022, le comité consultatif du gouvernement fédéral sur les banques ouvertes a publié un rapport. En vertu de ce rapport, la phase initiale du projet devrait être lancée d’ici janvier 2023, et le gouvernement et les acteurs du secteur collaborent pour créer la feuille de route du projet. L’année 2022 sera consacrée à préparer le lancement de 2023.
COLOMBIE
L’organe législatif rédige un projet de loi visant à concevoir un modèle de banques ouvertes. Il est prévu que le projet de loi soit déposé en 2022. Par conséquent, il n’y a actuellement aucun échéancier définitif disponible.
HONG KONG
Le déploiement par phase du cadre d’API ouvertes de la Hong Kong Money Authority (HKMA) pour le secteur bancaire met en jeu 28 banques participantes. Les banques ont entrepris les phases III et IV à la fin de 2021, en accordant d’abord la priorité aux renseignements sur les comptes de dépôt et sur les paiements effectués aux marchands en ligne.
Selon le Site Web (en anglais seulement) de la HKMA, dans le cadre de la phase III, 25 banques prévoient de lancer les fonctionnalités API auprès des consommateurs de détail d’ici le 30 juin 2022. Vingt-trois banques lanceront les fonctionnalités API pour les grandes entreprises et PME clientes d’ici le 30 juin 2022.
Dans le cadre de la phase IV, 27 des 28 banques participantes lanceront une fonctionnalité de paiement d’application à application au plus tard le 30 juin 2022. La banque restante prévoit de lancer cette même fonctionnalité d’ici le 30 septembre 2022.
ROYAUME D’ARABIE SAOUDITE
La banque centrale a publié sa courte Politique de banques ouvertes, qui vise à favoriser la concurrence, l’innovation, l’inclusion financière et l’efficacité au sein du système bancaire. La banque centrale évalue actuellement les répercussions possibles des banques ouvertes et la meilleure façon de les adopter au sein du Royaume. Le lancement des banques ouvertes se déroulera en trois phases : la conception, la mise en place et l’entrée en service.
Selon le document de politique de la banque centrale, « la phase de mise en place comprendra le développement des cadres définis et des blocs technologiques fonctionnels, ainsi que les activités de déploiement, notamment les essais impliquant les participants des marchés financiers et le renforcement de la sensibilisation des clients. » La banque centrale prévoit que l’entrée en service des banques ouvertes commencera pendant la première moitié de 2022.
ROYAUME-UNI
En mai 2021, la Financial Conduct Authority (FCA) a publié une déclaration en vertu de laquelle l’échéance de la mise en œuvre des exigences d’authentification forte client au sein des transactions de commerce électronique était reportée au 14 mars 2022. Cette prolongation de 6 mois vise à « garantir une perturbation minimale pour les marchands et les consommateurs et reconnaît les défis actuels que le secteur doit surmonter pour être prête au plus tard à l’échéance initiale du 14 septembre 2021 ».
ÉTATS-UNIS
À ce jour, les banques ouvertes aux États-Unis dépendaient des besoins des consommateurs, mais cette situation pourrait bientôt changer. En juillet 2021, le président Biden a émis un décret intitulé Promoting Competition in the American Economy (en anglais seulement), qui englobe 72 initiatives entreprises par plus d’une douzaine d’agences fédérales dans le but de régler les problèmes les plus urgents de concurrence dans l’ensemble de l’économie. L’une des 72 tâches que le Director of the Consumer Financial Protection Bureau doit envisager d’entreprendre ou de poursuivre est un projet de réglementation en vertu de l’article 1033 de la loi Dodd-Frank, qui a pour but de favoriser la transférabilité des données financières associées aux transactions des consommateurs. Ce projet permettrait aux consommateurs de changer plus facilement d’institutions financières et d’utiliser de nouveaux produits financiers novateurs. Il pourrait aussi servir de catalyseur à l’adoption des banques ouvertes aux États-Unis.
Prédictions pour 2022
À la lumière de ce vaste ensemble de changements réglementaires, nous vous invitions à réfléchir à certaines de ces prédictions ambitieuses pour cette année :
- Il faut s’attendre à ce que les États-Unis annoncent un préavis de projet de réglementation des activités bancaires mettant en jeu des cryptomonnaies.
- Les organismes de réglementation financiers des États-Unis, l’Office of the Comptroller of Currency (OCC), le Federal Reserve Board (FRB), le Federal Deposit Insurance Corporation (FDIC) et la Securities Exchange Commission (SEC) annonceront un préavis de projet de réglementation qui comprendra un ensemble complet de règlements semblable à la règle « Safeguards Rule » de la Federal Trade Commission.
- Le U.S. Consumer Financial Protection Bureau annoncera l’adoption de politiques qui favoriseront le lancement des banques ouvertes aux États-Unis.
- Les banques centrales ajouteront également des exigences sévères en matière de sécurité, notamment l’authentification multi-facteurs faisant appel à la biométrie pour la reconnaissance faciale et celle des empreintes digitales, et le blindage des applications mobiles pour le stockage de portefeuilles numériques et les transactions effectuées dans ceux-ci au moyen de cryptomonnaies de banques centrales (CBC). La sécurité revêt une importance capitale pour les banques centrales, et ces exigences deviendront la norme au fur et à mesure que les CBC seront lancées dans le monde.
- L’organisme de réglementation de la confidentialité des données de la France, la Commission nationale de l’informatique et des libertés (CNIL), annoncera que les mots de passe ne seront plus permis pour accéder à des données personnelles sensibles. Les systèmes et bases de données auxquels il est possible d’accéder à l’aide d’une authentification à un seul facteur (nom d’utilisateur et mot de passe) ne seront plus conformes au règlement GDPR.
Règlements bancaires et occasions à saisir
L’année 2022 marque une période de grands changements réglementaires partout dans le monde pour les banques à rayonnement local, les banques nationales, les sociétés de portefeuille bancaire, les caisses populaires et le système financier. Pour cette raison, il est essentiel de rester informé au sujet des changements réglementaires et lois bancaires actuels, ainsi que de toutes les propositions en cours de discussion dans les territoires de compétence où vous exercez vos activités. Ces changements, lois et propositions pourraient avoir un impact considérable sur vos initiatives de transformation numérique.
Apprenez-en plus au sujet des solutions de sécurité et de la conformité aux règlements en visitant notre page qui décrit le défi de la conformité.