Article body

Le développement d’un système bancaire efficace repose sur la confiance des épargnants. L’évolution historique, en particulier depuis la création de la Banque de Venise au xiie siècle, en témoigne. Il en va de même lors des diverses crises bancaires survenues, à titre d’illustration, aux États-Unis en 1907[1] et en 1929[2] et en 1987[3], en Argentine en 2001[4] ainsi qu’en Grèce en 2009[5]. Ajoutons que le taux de bancarisation oscille au Canada entre 96 et 99 %, alors qu’il peut être aussi bas que 5 % dans certains pays en développement[6], ce qui témoigne d’une grande confiance des Canadiens envers leur système bancaire.

Le rôle des banques, et des institutions financières, dans les transactions commerciales et de consommation s’avère indéniable. D’abord, au coeur de ces transactions se trouvent les opérations de paiement réalisées par ces intermédiaires, que ce soit pour l’émission d’un chèque, pour un transfert de fonds ou d’autres paiements électroniques. Ensuite, les opérations de financement ont lieu par emprunt (crédit) ou par émission de titres (valeurs mobilières). Or, les nouvelles technologies et l’intelligence artificielle constituent une véritable révolution[7] à cet égard. L’époque actuelle est en pleine mutation, en raison de l’arrivée d’entreprises commerciales offrant des produits et des services financiers aux consommateurs et aux entreprises. En d’autres termes, les jeunes ou petites entreprises de technologie financière, couramment appelées fintech[8], s’immiscent dans le territoire jadis réservé aux institutions financières, auxquelles il faut ajouter les grandes entreprises de technologie financière (bigtech). Plus récemment, et en rapport avec ce phénomène, est apparu le phénomène du système bancaire ouvert (open banking). De son côté, l’intelligence artificielle donne lieu à des applications diverses dans les secteurs bancaire et financier comme dans le domaine de l’automatisation des conseils (robot advisors)[9]. Si le recours aux automates est moins répandu dans le secteur bancaire, il en va différemment dans le secteur financier où il se trouve en pleine expansion[10]. Cette nouvelle dynamique, qui est là pour rester, crée des possibilités (augmentation de la concurrence, amélioration des services et diminution des coûts, inclusion financière) et provoque des risques différents (opérationnel, cyberrisque, conformité) qui mettent en jeu la stabilité financière elle-même. Pour sa part, le droit est à l’heure actuelle en pleine construction[11] et demeure source de profonds questionnements sur le contenu et le sens à lui donner[12].

Les institutions financières sont des entreprises différentes des sociétés commerciales traditionnelles. Cela tient à leur rôle essentiel dans le fonctionnement de l’économie, à leur plus grande vulnérabilité aux événements défavorables imprévus en cas de ratios d’endettement élevés, aux conséquences graves d’un problème de liquidité si la confiance de leurs clients en est touchée, aux engagements financiers à long terme de leurs clients qui repose sur un degré élevé de confiance, à la valeur de l’actif et du passif d’un grand nombre d’institutions financières qui peut être volatile et difficile à chiffrer avec précision et, enfin, à la possibilité de présenter d’importantes asymétries entre la durée de leurs actifs et celle de leurs passifs, ce qui peut entraîner de sérieux risques de financement ou d’investissement[13]. Les enjeux de protection de la clientèle (emprunteurs, utilisateurs des services de paiements, consommateurs de services d’investissement) et de ses parties prenantes[14] sont devenus centraux, comme le démontre en Europe l’adoption d’un nombre croissant de lois destinées à les protéger[15]. Pour ces raisons, l’encadrement des institutions financières est plus important et imposant que pour les sociétés commerciales.

L’apparition et le développement de joueurs commerciaux de nouvelles technologies dans l’écosystème financier incitent le législateur à réfléchir quant à l’approche qu’il doit adopter. Ainsi, les autorités essaient de mesurer l’impact de ces technologies sur les secteurs bancaire et financier. Les travaux se multiplient et concernent tant le système bancaire que le paiement et l’investissement. À travers une démarche exploratoire due à la nature innovante du sujet, nous abordons la question de l’impact technologique dans le présent texte, en traitant du système bancaire ouvert (partie 1), du paiement (partie 2)[16] et de l’investissement (partie 3)[17].

Alors qu’il peut paraître surprenant de traiter communément des activités bancaires et des activités d’investissement, il n’en demeure pas moins que les séparer est, à notre sens, artificiel. D’abord, le modèle de l’institution financière universelle[18] qui pratique des activités tant bancaires que financières est celui qui prédomine en dépit de l’adoption de la Volcker Rule aux États-Unis[19] et de la publication de plusieurs rapports prônant la mise en place d’une telle barrière, comme les rapports Vickers (2011[20]) et Liikanen (2012[21]). Au Canada, les banques peuvent également détenir des sociétés de valeurs mobilières, des sociétés de prêt et de fiducie ainsi que des sociétés d’assurances, habituellement sous la forme d’un groupement bancaire. Ensuite, bien que les banques canadiennes ne puissent directement effectuer certaines activités, comme les activités fiduciaires[22], d’assurances[23] et de valeurs mobilières[24], il faut souligner l’observation faite par le Groupe d’experts sur la réglementation des valeurs mobilières qui a indiqué dans un rapport paru en 2009 que « [b]eaucoup d’institutions financières mènent [actuellement] des activités recoupant les secteurs des banques, de l’assurance et des valeurs mobilières[25] ». Dans le même rapport, il a été noté que 70 % des courtiers en valeurs mobilières et en fonds communs de placement appartiennent aux banques[26]. Traditionnellement vouées aux affaires bancaires, les banques sont aujourd’hui engagées, par leurs filiales, dans des domaines dont elles étaient naguère exclues, comme le courtage en valeurs mobilières[27]. Actuellement, la banque d’investissement intégrée s’est imposée comme modèle, notamment au Canada, en raison de la place occupée dans le marché des services bancaires et d’investissement par les grandes institutions financières (Banque Scotia en passant par Scotia Capitaux ; CIBC, par Marchés mondiaux CIBC ; Banque Royale du Canada, par RBC Marché des Capitaux ; Banque de Montréal, par BMO Marché des capitaux ; Banque Toronto-Dominion, par Valeurs Mobilières TD ; Banque Nationale, par Financière Banque Nationale). La plupart des banques d’affaires à l’échelle canadienne, américaine et mondiale s’inscrivent dans une structure conglomérée, soit à titre de filiale ou d’unité opérationnelle d’un groupe bancaire qui offre également des services de banque de détail, de gestion d’actifs, d’assurances[28]… Enfin, il faut considérer les rapports étroits et naturels qu’entretiennent les activités bancaires et d’investissement au Canada, mais surtout aux États-Unis et en Europe où l’idée de banque universelle domine l’industrie.

1 Système bancaire ouvert

Un système bancaire ouvert permet à un client (consommateur ou entreprise) d’autoriser un tiers fournisseur de services financiers (non bancaire), c’est-à-dire une entreprise de technologie financière, d’obtenir ses données personnelles de manière sécurisée par l’intermédiaire d’une interface de programmation d’applications (application programming interface)[29] auprès d’une banque ou d’une autre institution financière[30]. Concrètement, il peut être question d’une société tierce qui offre des services de paiement aux consommateurs et qui doit obtenir certains renseignements bancaires, notamment au sujet de la suffisance de la provision, pour procéder au transfert des fonds. Le noeud de la problématique repose sur l’idée que la banque doit fournir l’information de son client à ce tiers. Indépendamment de cela, le consommateur ou l’entreprise peut ainsi accéder à un choix plus vaste de produits et de services financiers, ceux-ci étant mieux adaptés à ses besoins.

Les entreprises de technologie financière peuvent être subdivisées en plusieurs catégories. D’abord, il faut souligner les deux grandes catégories, à la fois les jeunes ou petites entreprises de technologie financière, appelées FinTech, et les grandes entreprises de technologie financière, surnommées BigTech. Ces dernières comprennent les entreprises d’envergure internationale qui présentent un avantage indéniable, peuvent rapidement gagner des parts de marché et sont susceptibles d’avoir un impact majeur sur le marché des services financiers[31]. Ensuite, le Comité de Bâle sur le contrôle bancaire, qui relève de la Banque des règlements internationaux, a proposé cinq scénarios qui tiennent compte de l’impact des entreprises de technologie financière sur les banques[32] :

  • Premièrement, la banque actuelle se métamorphose en une « meilleure banque » ;

  • Deuxièmement, une « nouvelle banque » numérique peut être créée, bien que cela soit difficile dans certains marchés, comme au Canada, et même sortir du marché les banques qui ne peuvent s’adapter ;

  • Troisièmement, le « morcellement du paysage bancaire » implique les rapports entre les banques et les entreprises de technologie financière. Ainsi se formera entre ces entreprises une relation de collaboration, peu importe la nature (coentreprise, partenariat, consortium, notamment) ;

  • Quatrièmement, le scénario de la « banque diminuée » se produit lorsque le rôle de la banque s’efface alors que l’entreprise de technologie financière établit une relation directe avec le client. Toutefois, le Comité de Bâle sur le contrôle bancaire indique qu’il « revient encore à la banque agréée d’assurer l’identification du client avant qu’il puisse accéder aux fonds par sa carte de paiement ou ses comptes[33] » ;

  • Cinquièmement, la « perte de la fonction d’intermédiation de la banque » se produit lorsqu’une entreprise de technologie financière, et surtout la grande entreprise (BigTech), offre un service complet. Le prêt entre pairs (P2P lending) illustre ce point.

Les troisième et quatrième scénarios participent au système bancaire ouvert (1.1). La protection des renseignements personnels devient alors la caractéristique essentielle de la mise en oeuvre de ce modèle d’affaires (1.2).

1.1 Collaboration entre la banque et les entreprises de technologie financière

Le développement du système bancaire ouvert est particulièrement prometteur, car il offre un éventail de possibilités à la fois pour les banques et les consommateurs. Une telle situation a mené la Commission européenne à élaborer des mesures d’encadrement de cette pratique. À ce jour, l’approche est accentuée vers les mécanismes de paiement. La Directive révisée sur les services de paiement permet ainsi l’ouverture du marché des paiements aux entreprises non bancaires, appelées « prestataires de services d’initiation de paiement[34] ». Sans insister sur les détails à ce stade-ci, nous estimons judicieux de souligner un point important au sujet de la régulation : l’encadrement européen est fondé sur une approche dite fonctionnelle, ce qui signifie en fonction des activités de l’institution.

Au Canada, le législateur a adopté l’approche dite institutionnelle, ce qui exige que quiconque désire effectuer des opérations bancaires sous le nom d’une banque doit obtenir une licence à cet égard[35], décision confirmée par la Cour suprême du Canada[36]. Lorsque vient le temps d’encadrer les entreprises de technologie financière, l’encadrement selon l’approche institutionnelle n’est plus approprié, et il est préférable d’opter pour l’encadrement en fonction des activités exercées par l’entreprise. Jusqu’à présent, une ouverture envers cette approche provient de Paiements Canada, organisation responsable de l’établissement du système de paiement canadien. Dans sa Vision diffusée en 2016, Paiements Canada recommande d’orienter la surveillance vers « l’activité fonctionnelle plutôt [que vers] l’entité institutionnelle[37] ». Cette approche novatrice est clairement destinée à favoriser l’innovation. Paiements Canada souligne d’ailleurs ceci :

Plutôt que de s’attacher au type de fournisseur de services (IF ou non-IF), les règles et les règlements devraient s’appliquer uniformément aux participants de l’industrie en fonction du service offert (par exemple, détention de fonds) et des risques associés. Un modèle de surveillance équitable et équilibré pour le système de paiement assure une meilleure conformité des participants aux règles qui assurent le bien-être des participants et aident à protéger les consommateurs et autres usagers[38].

À notre avis, cette approche se révèle intéressante et, de plus, elle s’harmonise avec la position européenne[39].

Outre la structure d’encadrement, le législateur fédéral a récemment modifié trois volets de la Loi sur les banques[40] afin de permettre à ces dernières de mieux concurrencer les entreprises de nouvelles technologies, soit les pouvoirs, le réseautage et l’investissement[41].

Premièrement, la banque peut « exercer toute activité relative aux services financiers qu’elle-même ou toute entité de son groupe offre[42] », ce qui est relativement large. Les pouvoirs des banques sont également augmentés en ce qui concerne l’exercice des activités liées à la collecte, à la manipulation et à la transmission de données de même qu’à la conception, à la mise au point, à la fabrication et à la vente de technologies, ou à toute autre manière de s’occuper de technologies, à la condition que ces activités soient relatives à n’importe quelle activité exercée par la banque, ou toute entité de son groupe, ou lorsque ces activités sont relatives à la prestation de services financiers par une autre entité[43]. Jusqu’aux modifications de 2018, la banque devait obtenir l’agrément du ministre des Finances du Canada pour exercer des opérations de ce genre[44].

Deuxièmement, le législateur a également modifié les dispositions encadrant le réseautage de la banque. Cette disposition est fondamentale lorsque la banque désire faire affaire avec une entreprise de technologie financière ou, plus précisément, lorsque celle-ci désire exécuter l’ordre de paiement d’un client et doit accéder à son compte bancaire, comme c’est le cas pour certains paiements mobiles. En vertu du nouvel article 411, la banque peut agir en tant que mandataire et conclure des arrangements avec toute personne[45], et non seulement les institutions financières admissibles, pour l’exercice des activités prévues par le paragraphe 410 (1), soit les services informatiques, et à la prestation de tout service. La nouvelle disposition permet aussi aux banques de renvoyer ou de recommander toute personne à une autre personne, et ce, sans restriction. Concrètement, cette approche favorise une meilleure collaboration entre une banque et un fournisseur de services de paiement de type non financier. C’est là une ouverture importante pour les banques, qui étaient confinées jusqu’ici au réseautage avec des institutions financières et, dans certains cas, contraintes d’obtenir un agrément du ministre des Finances du Canada.

Troisièmement, le régime de placements autorisés des banques, prévu dans l’article 468 de la Loi sur les banques[46], est modifié en conséquence des changements apportés à ses articles 410 et 411. Ainsi, « la banque peut acquérir le contrôle d’une entité, autre qu’une entité visée aux alinéas (1) a) à j) [de l’article 468], ou acquérir ou augmenter un intérêt de groupe financier dans une telle entité si la majeure partie, au sens des règlements, de l’activité commerciale de l’entité comporte des services financiers qu’une banque est autorisée à fournir[47] ». Une lecture attentive du libellé de cette disposition fait ressortir deux éléments : le contrôle et la majeure partie des activités. Si la banque désire simplement investir dans l’entreprise de technologie financière, cette disposition ne semble pas poser de problème. Toutefois, si elle veut en acquérir le contrôle, les activités de cette entreprise devront être en « majeure partie » de la même nature financière que celle que les banques peuvent offrir. Le concept de « majeure partie » devra être défini par une disposition réglementaire, ce qui laisse sous-entendre une solution plus complexe que l’exigence usuelle qui consiste à dépasser 50 %. Malgré cette embûche importante, il faut noter une amélioration par rapport à la situation actuelle, qui saura favoriser l’innovation, à n’en pas douter.

Toutefois, en vertu du Règlement sur les activités en matière de technologie de l’information (banques)[48], la banque peut acquérir le contrôle d’un intérêt de groupe financier dans une entité dont les activités consistent à « s’occuper — notamment en les concevant, les développant, les détenant, les gérant, les fabriquant ou les vendant — de systèmes de transmission de données, de sites d’information, de moyens de communication ou de plateformes informatiques ou de portails d’information qui sont utilisés pour la prestation de services d’information », sous réserve de quelques limites[49]. Ajoutons enfin que le nouveau paragraphe 983 (5.1) de la Loi sur les banques[50] permet à certaines entreprises n’ayant pas d’activités financières d’employer le nom « banque » lorsqu’elles font partie du même groupe qu’une banque, ce qui exclut les collaborations contractuelles des entités, lorsqu’aucun intérêt de groupe financier n’est prévu[51].

Ces faits nouveaux risquent de modifier la concentration économique de la structure de l’écosystème financier. Le Conseil de stabilité financière (Financial Stability Board) s’est interrogé sur l’impact des petites et grandes entreprises de technologie financière[52]. Il indique qu’en principe l’arrivée sur le marché de nouvelles entreprises devrait augmenter la concurrence et la diversité dans les activités de paiement, de prêt, de courtage et d’assurance, et même créer un système financier plus efficace et résiliant[53]. La concurrence venant des petites entreprises de technologie financière se limite habituellement à un créneau en particulier[54]. Cependant, les grandes entreprises de technologie financière peuvent offrir une sérieuse concurrence aux institutions financières traditionnelles, en raison de leur réseau et de leur clientèle déjà établis, de la possibilité d’utiliser les données personnelles de leurs clients provenant d’activités non financières, ainsi que de l’accès à des technologies telles que l’intelligence artificielle et l’infonuagique (cloud computing)[55].

Au Royaume-Uni, la Commission & Markets Authority a souligné le manque de concurrence du secteur des services bancaires anglais[56]. Elle précise que, « [e]ssentially, the older and larger banks, which still account for the large majority of the retail banking market, do not have to work hard enough to win and retain customers and it is difficult for new and smaller providers to attract customers[57] ». Elle ajoute que la structure de frais des comptes, et surtout les découverts bancaires, se révèle complexe et désavantageuse pour le client, et que la possibilité de changer d’institution serait bénéfique aux yeux de plusieurs clients. Au surplus, elle note que les « older banks have access to cheaper retail deposits from their existing customers which they can use in their lending businesses. This gives such banks an advantage over new banks and the more customer deposits a bank has the bigger that advantage[58] ». La solution proposée par la Commission & Markets Authority est de développer le système bancaire ouvert. En conséquence, elle a créé l’Open Banking Implementation Entity (OBIE) afin de créer des normes pour l’écosystème du système bancaire ouvert. La troisième version des normes présentée par cet organisme vise à se conformer à la Directive révisée sur les services de paiement[59].

À l’instar des États-Unis[60], le Canada a amorcé une phase de réflexion depuis peu de temps. Inspiré par la Commission & Markets Authority du Royaume-Uni[61], le Bureau de la concurrence a présenté un rapport au sujet de l’innovation technologique dans le secteur des services financiers[62]. Au sujet du système bancaire ouvert, il souligne que l’élaboration de normes, à laquelle doivent participer tous les acteurs de divers horizons, permet notamment « d’accroître l’efficacité et d’offrir plus de choix aux consommateurs, [réduit] les obstacles à l’entrée sur le marché et [favorise] l’interopérabilité et l’innovation[63] ». Il ajoute que ces normes changeront « la face de l’expérience client », en vendant des produits séparés (habituellement vendus ensemble), en permettant au consommateur de transférer son argent dans un compte à intérêt plus élevé ou dans une autre banque par l’entremise d’un seul fournisseur[64]. Enfin, le Bureau de la concurrence note que la Commission & Markets Authority conclut que les grandes banques établies doivent apporter moins d’efforts que les plus petites pour développer une clientèle, ce qui fait que de nombreux clients paient trop cher et sont susceptibles d’obtenir moins de services[65].

Dans le but d’encourager l’innovation et la concurrence, le ministère des Finances du Canada a suggéré, lors du dépôt du budget en février 2018, « d’entreprendre un examen du bien-fondé du système bancaire ouvert afin de déterminer si ce dernier offrirait des résultats positifs aux Canadiens, tout en accordant la plus grande attention à la protection des renseignements personnels, à la sécurité des données et à la stabilité financière[66] ». Cette démarche s’est concrétisée d’abord par la mise en oeuvre du Comité consultatif sur le système bancaire ouvert à l’automne 2018[67] et, ensuite, par la sollicitation de commentaires du public par l’intermédiaire d’un document de consultation[68]. Ce dernier présente les mérites et les bénéfices d’un tel système, et aborde la délicate question de la gestion des risques. L’encadrement doit reposer sur trois éléments, soit l’efficacité (prix concurrentiels), l’utilité (besoin d’un large bassin de clients) et la stabilité (secteur financier solide, robuste et résilient au stress)[69]. Au demeurant, la démarche du ministère des Finances catalysera évidemment la réflexion sur l’encadrement normatif du système bancaire ouvert au Canada. Le budget déposé en mars 2019 considérera l’implantation de ces nouveautés pour évaluer la meilleure voie à suivre afin d’« aller de l’avant avec le système bancaire ouvert, tout en accordant la plus grande attention à la protection des renseignements personnels des consommateurs, à la sécurité des données et à la stabilité financière[70] ».

Enfin, l’arrivée sur le marché de ces entreprises de technologie financière soulève de nouveaux risques pour la stabilité financière. Selon le Comité de Bâle sur le contrôle bancaire, il faut tenir compte des risques en fait de stratégie et de rentabilité, du cyberrisque, de l’augmentation de l’interdépendance entre les parties financières, du risque opérationnel élevé-systémique, du risque opérationnel élevé-idiosyncrasique, du risque de gestion des tierces parties-fournisseurs, du risque de conformité, y compris l’échec à protéger les consommateurs et la réglementation de la protection des données, du risque de blanchiment de capitaux-financement du terrorisme et du risque de liquidité et de volatilité des sources de financement bancaires[71].

1.2 Protection des renseignements personnels

Simple en apparence, la protection des renseignements exige une sérieuse réflexion du point de vue juridique. La première question tourne autour de la sécurité du transfert (1.2.1). La seconde question soulevée par le transfert des données à une partie tierce repose sur le devoir de non-ingérence de la banque : en conséquence, il faut aborder le consentement du consommateur, ou du client commercial, pour le transfert des données (1.2.2).

1.2.1 Sécurité

Les renseignements personnels du client constituent des données sensibles qui requièrent un niveau de protection approprié. Comme le souligne avec exactitude la Commission & Markets Authority britannique, « [w]hen it comes to customer data, privacy and security concerns are paramount[72] ». Les moyens de protection classiques sont connus : la cryptographie, les méthodes biométriques et la technologie du grand livre distribué, aussi appelée « chaîne de blocs » (blockchain). Nous n’insisterons pas ici sur ces moyens, mais nous désirons approfondir un aspect moins connu et central en l’espèce, soit l’interface de programmation d’applications. Notons au passage que ces techniques de sécurité font partie intégrante de ladite interface.

Simplement exprimée, cette interface permet à diverses applications de communiquer entre elles pour partager des données. Dans les faits, l’opération est programmée et peut être utilisée de manière autonome par l’entremise de l’intelligence artificielle[73]. Il est donc question d’un intermédiaire qui permet la connectivité. À titre d’illustration, au moment de la réservation d’un vol aérien par Internet, le client soumet sa requête à un service intermédiaire pour rechercher le meilleur vol (parmi différentes sociétés) en indiquant l’information de base (destination, date, etc.). Ainsi, l’interface de programmation d’applications se situe au coeur des nouveautés du système bancaire ouvert[74], car elle permet notamment la gestion de comptes détenus par plusieurs banques, les transferts de fonds entre comptes (pour éviter les frais en cas de découvert), l’obtention de meilleurs prix de même que des produits et des services de qualité et mieux ciblés.

Outre la protection technique assurée principalement par la cryptographie, sous l’angle juridique, la sécurité est assurée par la qualité du consentement fourni par le client.

1.2.2 Renseignements personnels des clients

Il est reconnu en droit bancaire canadien que la banque ne doit pas s’immiscer dans les affaires de son client[75]. Toutefois, le principe de non-ingérence ne doit pas amener la banque à se soustraire à son devoir de vigilance lorsqu’elle a connaissance, ou se doute, que des opérations louches ou illicites se trament par l’entremise du compte bancaire[76]. Ce principe pose-t-il un obstacle à la possibilité pour les banques de partager les données de leurs clients avec des tiers fournisseurs ? L’arrêt Tournier c. National Provincial and Union Bank of England[77], qui a établi les fondements de la divulgation des renseignements personnels de son client par la banque, mérite une attention en l’espèce. Dans cette affaire, la banque avait révélé à un tiers (employeur potentiel) de l’information concernant son client, mais sans avoir obtenu le consentement de ce dernier. Il s’est avéré que les renseignements transmis ont nui au client, celui-ci n’ayant pu obtenir l’emploi convoité. La Cour du Banc du Roi a alors déclaré que quatre conditions doivent être respectées pour permettre à la banque de transmettre les renseignements personnels de son client : 1) la divulgation avec le consentement exprès ou tacite du client ; 2) la divulgation dans l’intérêt de la banque ; 3) le devoir d’intérêt public ; et 4) l’ordonnance ou la contrainte d’une loi. Ainsi, le consentement du client peut permettre à la banque de transférer les données à un tiers. Dans l’arrêt Tournier, la difficulté tient au fait que le tiers était un employeur potentiel du demandeur.

De nos jours, les contrats bancaires prévoient des clauses de collecte et d’utilisation de renseignements personnels du client. De telles clauses précisent notamment que la banque peut communiquer ces renseignements à des agences de crédit, à d’autres institutions financières ou même à des agents ou à des prestataires de services. Bien que ces clauses soient parties à des contrats d’adhésion, il faut reconnaître qu’elles sont valides en droit. Ainsi, en ouvrant un compte de banque, le client consent que ses renseignements personnels soient divulgués à des tiers, comme des agents ou des prestataires de services. Cette démarche n’enfreint en rien l’obligation de non-immixtion de la banque.

À qui appartiennent les données bancaires des clients ? Une analyse des sources juridiques, ainsi que des contrats bancaires, laisse croire que le client est le propriétaire de ses données. Toutefois, les contrats bancaires, qui sont des contrats d’adhésion par nature, prévoient que le client octroie à la banque le droit d’utiliser les données dans diverses circonstances, que ce soit aux fins de marketing, de service à la clientèle ou de financement. Dans ce dernier cas, le client ne peut renoncer à l’utilisation des données par la banque. Si le client refuse, il pourra tenter de contracter avec une autre institution financière, mais le système bancaire étant en situation oligopolistique au Canada, les clauses de divulgation de renseignements personnelles sont relativement similaires.

Le cas échéant, que vaut le consentement du client ? Peut-il être soutenu que ce consentement s’avère libre et éclairé ? Considérant que le contrat bancaire est un contrat d’adhésion, et vu ce qui précède, il est permis de douter de la validité d’un consentement éclairé dans ces circonstances. Or, le consentement demeure au centre des préoccupations du législateur, comme en témoignent les faits nouveaux sur le plan législatif.

En Europe, le Règlement général sur la protection des données, en vigueur depuis 2018, consacre le principe que « [l]e consentement devrait être donné par un acte positif clair par lequel la personne concernée manifeste de façon libre, spécifique, éclairée et univoque son accord au traitement des données à caractère personnel la concernant, par exemple au moyen d’une déclaration écrite, y compris par voie électronique, ou d’une déclaration orale[78] ». Ce principe s’imprègne tout au long de ce règlement. Il complète, en quelque sorte, un ensemble de directives, dont la Directive révisée sur les services de paiement[79]. Selon celle-ci, un tiers qui engage un paiement peut demander au prestataire de services de paiement gestionnaire du compte (banque) de lui fournir des renseignements pour conclure la transaction, à la condition d’appliquer une authentification forte[80]. L’article 98 de la Directive révisée sur les servivces de paiement prévoit que l’Autorité bancaire européenne doit élaborer des normes techniques de réglementation à l’intention des prestataires de services de paiement pour préciser les exigences d’une authentification forte en vertu de l’article 97 du Règlement général sur la protection des données[81]. Ce dernier énonce, entre autres, qu’un code d’identification est généré lorsque l’authentification est fondée sur au moins deux des éléments appartenant aux catégories « connaissance », « inhérence » et « possession[82] », et des mécanismes de contrôle doivent être prévus par le prestataire de services de paiement[83] : ceux-ci doivent également assurer la confidentialité et la sécurité des données[84], et des mesures d’exception sont possibles[85]. Enfin, le prestataire de services de paiement doit avoir accès à une interface[86], qui peut être réservée[87], pour communiquer avec le payeur. Le cas échéant, des mesures d’urgence doivent avoir été planifiées par les prestataires de services de paiement gestionnaires de comptes en cas d’indisponibilité ou de panne[88]. Ajoutons que l’article 20 du Règlement général sur la protection des données reconnaît aux personnes visées le droit à la « portabilité » de leurs données, ce qui consiste à « recevoir les données à caractère personnel les concernant qu’elles ont fournies à un responsable du traitement, dans un format structuré, couramment utilisé et lisible par machine, et [elles] ont [aussi] le droit de transmettre ces données à un autre responsable du traitement sans que le responsable du traitement auquel les données à caractère personnel ont été communiquées y fasse obstacle[89] », si le traitement est fondé sur un consentement et qu’il a été effectué de manière automatisée.

À cet égard, il faut souligner l’étude entreprise par l’organisme Canada 2020 Policy Lab : celui-ci a tenu un groupe de discussion (focus group) regroupant 41 acteurs, des milieux des affaires, gouvernementaux et universitaires[90]. Neuf éléments ont fait consensus, dont le premier qui prévoit que le consommateur doit fournir un consentement exprès préalablement au partage des données et qu’il conserve la possibilité de se rétracter en tout temps[91]. Ce principe s’avère intéressant, certes, mais peut-il être réellement mis en oeuvre ? Nous avons déjà souligné la question de la valeur réelle du consentement. Les normes, dont celles du consentement, doivent-elles être coercitives ? Cette question est absente de l’étude de Canada 2020 Policy Lab, de même que des discussions d’autres organismes. Il nous semble fondamental, pour la protection des consommateurs, que les futures normes présentent un caractère obligatoire, suivant ainsi l’exemple du droit européen. Au demeurant, nous nous devons de saluer la nouvelle dynamique du système bancaire ouvert sur l’écosystème canadien des services financiers, sous réserve de la considération des intérêts des consommateurs.

Le système bancaire ouvert chapeaute plusieurs variétés d’opérations bancaires et financières tout à fait novatrices. Comme nous l’indiquions en introduction, les opérations de paiement et d’investissement illustrent parfaitement ces nouveautés.

2 Paiement et technologies

La confiance qu’expriment les agents économiques envers une monnaie détermine son degré d’acceptation. Elle peut provenir du marché ou de la puissance publique. L’acceptation et la confiance envers une monnaie se sont surtout manifestées au cours des siècles lorsque la monnaie était émise par une autorité publique, d’abord par l’apposition d’un sceau sur les pièces de monnaie métallique et, par la suite, par l’instauration d’une banque centrale chargée de l’émission de la monnaie papier et métallique. La dématérialisation de l’argent a maintenant atteint une nouvelle phase qui incite certains à se demander s’il faut parler de monnaie électronique ou de systèmes de paiement électronique. À ce propos, l’Organisation de coopération et de développement économiques (OCDE) affirme que « le destin de l’argent est de devenir numérique[92] ».

Alors que, traditionnellement, les modes de paiement étaient sous la tutelle des banques, tant pour l’émission et la négociation d’effets de commerce que pour la délivrance de cartes de crédit ou de débit, l’ouverture d’Internet aux relations commerciales a pavé la voie à l’arrivée de nouveaux fournisseurs de services de paiement de type non financier. En s’invitant sur le même terrain que les banques, ces fournisseurs favorisent une distorsion du marché, vu la situation d’iniquité entre la réglementation imposée aux institutions financières traditionnelles et celle qui gouverne les entreprises de technologie financière. Dans toutes les sociétés, les institutions financières sont des entreprises différentes des sociétés commerciales, et ce, en raison de divers facteurs : leur rôle essentiel dans le fonctionnement de l’économie, leur plus grande vulnérabilité aux événements défavorables imprévus en cas de ratios d’endettement élevés, les conséquences graves d’un problème de liquidité si la confiance de leurs clients est touchée, les engagements financiers à long terme de leurs clients qui reposent sur un degré élevé de confiance, la valeur de l’actif et du passif d’un grand nombre d’institutions financières qui peut être volatile et difficile à chiffrer avec précision et la possibilité de présenter d’importantes asymétries entre la durée de leurs actifs et celle de leurs passifs, cette situation pouvant entraîner d’importants risques de financement ou d’investissement[93]. Ce constat se traduit par un cadre réglementaire très strict, concernant la constitution de l’institution financière, sa gouvernance, les activités permises et interdites ainsi que la protection des dépôts bancaires par l’entremise de l’assurance-dépôts. Puisque les fournisseurs de services de paiement de type non financier ne sont pas des institutions financières traditionnelles, mais plutôt des entreprises commerciales, ces dernières ne se trouvent généralement pas assujetties à cet éventail réglementaire, selon la structure opérationnelle qu’elles ont choisie.

Comment le régulateur doit-il composer avec cette nouvelle dynamique et cette inquiétude réglementaire ? La question, qui sous-entend que le système de paiement canadien est rendu à un carrefour de son développement, mérite, dans un premier temps, que nous analysions les récents aspects de sa modernisation (2.1) et, dans un second temps, que nous illustrions la problématique posée par le paiement mobile (2.2).

2.1 Modernisation des systèmes de paiement

Au fil des dernières années, le régulateur canadien a encadré divers modes de paiement, comme les produits de paiement prépayés (cartes prépayées)[94] et les cartes de crédit[95]. L’Union européenne propose toutefois un cadre d’analyse qui pourrait inspirer le Canada dans sa réflexion et sa quête d’une solution à l’encadrement des fournisseurs de services de paiement de type non financier.

Se basant sur l’idée qu’« [u]ne croissance solide des paiements par l’internet et par téléphone mobile devrait aller de pair avec un renforcement généralisé des mesures de sécurité[96] », le Parlement européen a actualisé la Directive sur les systèmes de paiement[97] pour y englober de nouveaux moyens de paiement[98]. Ainsi, la Directive révisée sur les services de paiement du Parlement européen encadre désormais l’ensemble des paiements électroniques de consommation que constituent les cartes de paiement, les paiements par Internet et les paiements mobiles. Adoptée en 2015, cette directive représente l’aboutissement de nombreux textes juridiques portant d’abord sur les paiements par carte et ensuite sur les paiements par Internet. L’objectif est de créer un espace commun européen pour les paiements, et le fil conducteur de cette directive révisée concerne l’efficacité des transactions (réduction des coûts) et la sécurité des paiements, y compris la protection des données personnelles des consommateurs. Une autre caractéristique innovante de la Directive révisée sur les services de paiement touche l’ouverture du marché des paiements aux entreprises non bancaires, appelées « prestataires de services d’initiation de paiement[99] ». Comme le mentionne le communiqué de presse de la Commission européenne, ces règles « encourageront le développement et l’utilisation de modes de paiement mobiles et en ligne innovants et elles rendront les services européens de paiement plus sûrs[100] ».

La Directive révisée sur les services de paiement encadre donc le paiement par un appareil mobile sous deux angles : la réglementation des prestataires de services d’initiation de paiement et des prestataires d’information sur les comptes, ainsi que leur responsabilité.

Le prestataire de services d’initiation de paiement ordonne le paiement à partir du compte bancaire du consommateur. Traditionnellement, la banque était la mandataire de son client lorsque celui-ci ordonnait le transfert des fonds à un bénéficiaire, peu importe que ce soit par un chèque ou par un virement bancaire (y compris une carte de débit). Or, comme nous l’avons exprimé plus haut, les entreprises de technologie financière ont bousculé ce paradigme. Il peut s’agir désormais d’un paiement par un appareil mobile qui utilise une carte de débit ou de crédit. Si l’occasion se présente, ce cas de figure sera assujetti à la Directive révisée sur les services de paiement. En effet, aux prises avec l’émergence de ces entreprises, la Commission européenne a choisi de réglementer selon le service offert (critère fonctionnel) et non en fonction de la structure de l’institution visée (critères formels et institutionnels)[101] : en d’autres termes, les entreprises qui offrent des services d’initiation (ordre) de paiement sont assujetties à la Directive révisée sur les services de paiement, peu importe qu’elles soient des institutions financières ou des entreprises commerciales (appelées « fournisseurs de services de paiement tiers »). Cette approche tranche avec l’approche traditionnelle et, surtout, avec le droit canadien, lesquels demeurent inappropriés devant ce nouveau modèle d’affaires.

Deux conséquences découlent de cette démarche. Premièrement, il en résulte une concurrence accrue, par l’ouverture de ce marché, ce qui sera bénéfique au consommateur en raison de la baisse naturelle des frais en cette circonstance. Deuxièmement, une attention particulière a été accordée à la sécurité pour prévenir un paiement non autorisé. Sur ce point, le fournisseur de services doit au préalable avoir obtenu un agrément de la part de l’État membre d’origine en tant qu’établissement de paiement[102], afin de pouvoir offrir des services de paiement[103]. Par la suite, le consommateur doit avoir autorisé l’opération de paiement[104], et la banque devra accepter que les fournisseurs de services de paiement tiers accèdent aux renseignements du compte bancaire du consommateur qui sont accessibles en ligne dans le but de vérifier s’il a les fonds suffisants pour couvrir la transaction[105]. En contrepartie, les fournisseurs de services de paiement tiers doivent assurer l’authentification du consommateur, et ne transmettre que les données personnelles sécurisées[106]. Plus généralement, tous les prestataires de services d’initiation de paiement doivent respecter des obligations de sécurité à l’égard des paiements transmis, ce qui permet de réduire les risques de fraude[107].

Enfin, le prestataire de services d’initiation de paiement est responsable à plusieurs égards. Notons d’abord qu’il doit s’assurer de l’exactitude de la transmission du paiement[108]. En cas d’une utilisation non autorisée, il doit corriger les erreurs[109] et rembourser le payeur (ou le prestataire de services d’initiation de paiement, s’il y a lieu) pour le montant visé[110]. Ensuite, la protection des données personnelles du consommateur doit également faire l’objet d’une attention particulière par le prestataire de services de paiement. Notamment, le prestataire de services d’initiation de paiement doit veiller à ce que les données personnalisées de l’utilisateur de services de paiement ne soient pas accessibles à d’autres que ce dernier, et à ce qu’elles soient transmises de manière sûre et efficace ; il ne doit pas stocker les données de paiement sensibles[111].

En 2015, Paiements Canada a entrepris une révision en profondeur du système de paiement au Canada. L’année suivante, deux documents ont évalué les besoins du marché canadien. D’abord, la Vision commune pour l’écosystème de paiement canadien avait pour objet l’implantation d’un « système de paiement moderne […] rapide, souple et sûr, [pour] favorise[r] l’innovation et renforce[r] la compétitivité du Canada[112] ». À partir de cette Vision, Paiements Canada a publié le document intitulé Carte routière et plan de haut niveau de l’industrie, qui est destiné à mettre en oeuvre ladite Vision, c’est-à-dire répondre aux besoins de l’industrie et moderniser l’écosystème des paiements[113]. Enfin, l’État cible de la modernisation présente un portrait détaillé du programme de modernisation de Paiements Canada[114]. Il focalise sur trois aspects :

  1. le remplacement du Système de transfert de paiements de grande valeur (STPGV) par une nouvelle structure, appelée « Lynx », mieux adaptée aux normes de gestion du risque de la Banque du Canada ;

  2. le remplacement du Système automatisé de compensation et de règlement (SACR) par le Moteur d’optimisation du règlement (MOR), également mieux adapté aux normes de gestion du risque de la Banque du Canada ;

  3. la mise en oeuvre d’un nouveau système de paiement en temps réel (PTR) : dans ce cas, Paiements Canada permettra aux fournisseurs de services de paiement de type non financier d’accéder directement au système de PTR, avalisant ainsi l’approche préconisée par la Vision en avril 2016[115].

En d’autres termes, Paiements Canada procède à une modernisation majeure du système de paiement canadien en permettant, entre autres, à des fournisseurs de services de paiement de type non financier d’accéder au système de compensation interbancaire. Cette démarche s’inscrit dans le développement du système bancaire ouvert. Mentionnons que, dans sa Vision, Paiements Canada souhaite orienter la surveillance vers l’activité fonctionnelle plutôt que vers l’entité institutionnelle[116].

D’ailleurs, le budget déposé en 2019 va en ce sens[117]. Il prévoit l’établissement d’un nouveau cadre de surveillance des paiements de détail permettant l’accès des nouveaux systèmes de paiement innovants qui comportent plus de risques. Axé sur une approche fonctionnelle, il est donc destiné à encadrer plus étroitement les fournisseurs de paiement innovants par l’adoption de saines pratiques de gestion des risques opérationnels. La Banque du Canada serait responsable de la surveillance des exigences opérationnelles et financières, et devrait maintenir un registre public des fournisseurs de services de paiement réglementés.

Cette approche s’apparente à celle que préconise l’Autorité des marchés financiers (AMF). Cette dernière a formé le Comité consultatif sur l’innovation technologique et un groupe de travail sur les technologies financières (Groupe fintech) pour analyser la nouvelle donne. Ce dernier doit s’occuper des registres distribués, de la cryptomonnaie et des solutions de paiement mobile, des plateformes de financement, des mégadonnées, des objets connectés ainsi que des outils automatisés et des technologies réglementaires (regulatory technology ou RegTech). L’AMF a aussi créé le « Laboratoire fintec ». À ce jour, des permis sont octroyés à des entreprises de technologie financière selon leurs activités en vertu de la Loi sur les entreprises de services monétaires[118], mais les réflexions menées par ces groupes de consultation pourraient modifier l’approche de l’AMF.

2.2 Paiement mobile

Le rapport du Groupe de travail sur l’examen du système de paiement publié en 2011 était principalement orienté vers la nécessité de créer une infrastructure juridique compatible avec la mise en oeuvre des paiements virtuels, notamment transmis par un appareil mobile[119]. Il a déterminé qu’un « système de paiement pleinement moderne entraînerait pour l’économie canadienne des gains de productivité équivalant à 2 % du PIB, soit des économies annuelles de l’ordre de 32 milliards de dollars[120] ». Depuis ce moment, l’écosystème des paiements a évolué au Canada et les grandes institutions financières se sont mobilisées pour élaborer une infrastructure de paiement mobile au Canada[121], ce qui se reflète dans des rapports parus en 2012 et surtout en 2015[122].

Comme nous l’avons souligné plus haut, les institutions financières se sont retrouvées devant les trois possibilités suivantes : ne rien faire (statu quo), adapter leur modèle d’affaires ou collaborer avec des entreprises de technologie financière. La première option étant inacceptable, et la deuxième se révélant fort discutable, les institutions financières ont favorisé la troisième option. Ainsi, celles-ci collaborent maintenant avec des fournisseurs d’appareils et de services Internet pour offrir ce service à leurs clients car, lorsqu’ils sont utilisés par une carte de débit ou une carte de crédit, les systèmes de paiement mobile et sans contact nécessitent l’intervention d’un fournisseur d’accès Internet et d’un fournisseur d’appareil. Au cours des années, plusieurs approches ont été tentées pour l’utilisation de portefeuilles mobiles ouverts (permettant un paiement sans contact)[123].

Plusieurs fournisseurs de paiement, comme PayPal, Square et Venom, offrent maintenant des cartes de paiement (crédit, débit ou prépayée) à leurs utilisateurs. En mars 2019, cette tendance a pris une dimension plus médiatisée avec le lancement par la société Apple de la carte de crédit Apple Card, en collaboration avec la banque Goldman Sachs[124]. Cette carte innove sur quelques aspects par rapport aux cartes de crédit traditionnelles : elle est destinée à être utilisée exclusivement avec un téléphone intelligent (appareil iPhone) et le système Apple Pay, bien qu’une carte de crédit matérielle puisse être délivrée ; aucune information n’apparaît sur la carte ; cette dernière est gratuite, et une remise variant de 1 à 3 % des achats immédiatement (et non après un mois) est prévue ; aucun solde minimal ne doit être versé pour un retard de paiement, mais le taux d’intérêt oscille entre 13,24 et 24,24 %, selon la qualité du crédit du titulaire. Il est difficile de connaître l’impact de cette approche sur ses concurrents, comme Google et Samsung, ainsi que sur les fournisseurs traditionnels de cartes, mais la gratuité de la carte et le volet sécuritaire pourraient être un atout intéressant. Il faut bien entendu s’interroger au sujet de l’absence de paiement minimal en cas de retard, considérant l’exigence d’un versement de 5 % au minimum imposé par l’article 126.1 de la Loi sur la protection du consommateur[125].

Au Canada et au Québec, aucun encadrement spécifique ne gouverne les paiements sans contact (mobile), à l’exception des relations entre celui qui délivre une carte de paiement et le titulaire de la carte assujettie à la Loi sur la protection du consommateur, et de l’AMF qui soutient que les fournisseurs de services de paiement mobile sont assujettis à la Loi sur les entreprises de services monétaires[126], mais cette solution ne convient pas à toutes les formes de paiement mobile. Il faut donc s’en remettre aux règles générales du droit commun, dont, au Québec, les règles sur l’interprétation des contrats et les clauses abusives, externes ainsi qu’illisibles et incompréhensibles[127], de même qu’à certaines dispositions de la Loi sur la protection du consommateur. Si cette dernière n’a pas été modifiée pour tenir compte des nouveautés technologiques concernant les paiements électroniques et surtout des fournisseurs de services de paiement de type non financier, la jurisprudence a partiellement pallié cette lacune en confirmant unanimement l’application du droit actuel au paiement par carte de crédit dans Internet[128]. Cela atteste le choix non équivoque des consommateurs qui ont clairement exprimé leur préférence envers la transmission en ligne de leur numéro de carte de crédit par rapport aux nouveaux chèques électroniques et à la micromonnaie. Les protections offertes par la Loi sur la protection du consommateur[129] et le Règlement sur les pratiques commerciales en matière de crédit[130], comme la transmission d’un état de compte périodique, l’interdiction d’envoyer des cartes non sollicitées et la perte limitée à 50 dollars en cas de fraude[131], représentent des arguments justifiant cette tendance. Par ailleurs, pour augmenter la confiance des utilisateurs au moment de leurs achats en ligne et pour authentifier les transactions en ligne, Mastercard offre le système SecureCode[132] et Visa utilise le système Verified by Visa[133].

Le contexte normatif canadien favorise toutefois les règles d’autorégulation pour pallier les lacunes législatives. Plusieurs sources ouvrent la porte à une tentative d’encadrement des paiements mobiles. Notons d’abord le Code de pratique canadien des services de cartes de débit[134], de nature non coercitive, qui prévoit que « [l]es organismes qui auront entériné le présent Code devront assurer une protection du consommateur égale ou supérieure à celle établie dans ledit Code. Le code n’exclut pas la protection prévue par les lois et normes en vigueur[135] ». L’application des dispositions de ce code tient à la coopération des institutions financières. Cette affirmation vaut-elle pour les transactions en ligne ? À remarquer que l’Association des banquiers canadiens « s’engage [au nom de ses membres] à appliquer les principes et les dispositions du Code de pratique canadien des services de cartes de débit aux instruments de paiement en ligne liés aux comptes de dépôt des clients[136] ». En raison de sa nature non coercitive, le code en question doit être incorporé au contrat bancaire pour s’imposer aux institutions financières. Depuis quelques années, celles-ci prévoient explicitement une disposition contractuelle concernant le Code de pratique.

Par ailleurs, l’Association des banquiers canadiens indique également que « [l]es banques membres de [l’Association] souscriront à cet engagement au moment d’implanter un système de paiements en ligne, conformément à la [R]ègle E2 (Échange d’effets de paiement en ligne électronique aux fins de la compensation et du règlement)[137] de Paiements Canada[138] ». Or, dans l’arrêt B.M.P. Global Distribution inc. c. Banque de Nouvelle-Écosse, la juge Deschamps a déclaré que « [l]a jurisprudence et la doctrine, elles aussi, reconnaissent que les règles de compensation ne s’appliquent qu’aux relations entre les membres de l’Association canadienne des paiements et ne confèrent pas de droits aux tiers[139] ». La juge Deschamps ajoute que le tiers, soit le bénéficiaire, peut poursuivre son institution financière si le contrat bancaire « incorpor[e] les règles de compensation[140] ». En pratique, les contrats n’incluent pas lesdites règles, ce qui pose une embûche majeure aux titulaires d’une carte désirant poursuivre leur institution financière en cas de non-respect de la Règle E2, sous réserve des droits qu’elle confère. Ainsi, nonobstant l’assujettissement des institutions financières au Code de pratique, ou à ses éléments — clauses nos 2 et 3 ci-dessus —, un recours basé sur une erreur de la banque lors d’un paiement assujetti à la Règle E2 serait possiblement virtuel.

Le Code de conduite destiné à l’industrie canadienne des cartes de crédit et de débit de 2010 a été mis à jour en 2015 pour tenir compte des particularités du paiement mobile[141]. Essentiellement, il était question d’une adaptation des principes de ce code à la nouvelle technologie. Notons en particulier que le Code de conduite accorde aux commerçants le loisir de choisir de ne pas accepter les paiements sans contact effectués au moyen d’un appareil mobile si les frais de paiements mobiles augmentent par rapport à ceux des paiements sans contact effectués avec une carte[142].

Par ailleurs, il faut considérer l’encadrement du fournisseur de services Internet. À cet égard, le Code sur les services sans fil régit les fournisseurs de services sans fil depuis le 2 décembre 2013[143]. Bien que ce code soit principalement axé sur le volet contractuel, il tient compte également de la question du vol de l’appareil mobile[144]. Si cela peut causer un problème dans le cas d’un paiement, la question tient surtout de la protection des données en cas de vol de l’appareil, ce dont ce code ne traite pas précisément.

Enfin, le Modèle de référence de 2012 prévoit la question du traitement des données de la manière suivante[145]. La sous-section 12.1 indique l’acteur qui a accès aux données financières et à celles qui sont liées aux programmes de fidélisation. Cependant, la sous-section 12.2 prévoit ceci :

La fraude et la sécurité représentent des préoccupations importantes dans le cadre des paiements mobiles. Même si ce document ne contient pas de normes précises en matière de fraude et de sécurité, il est recommandé que chaque participant à l’écosystème établisse des processus en vue d’assurer le suivi des problèmes de fraude et de sécurité et de les atténuer, particulièrement en ce qui concerne les logiciels malveillants, ainsi que le piratage et le vol d’appareils mobiles.

En d’autres termes, la question de la protection des données et, par conséquent, de la responsabilité des acteurs, est élaguée dans ce document. Cependant, le Livre blanc de 2015 apporte un éclairage intéressant sur cette question. Un principe important tient à la responsabilité des émetteurs car, bien qu’ils « puissent ne pas gérer tous les volets des failles éventuelles à la sécurité en ce qui a trait au portefeuille mobile ouvert, ils demeurent responsables de l’opération de bout en bout[146] ».

Contrairement à la situation qui règne en Europe, l’encadrement normatif canadien du paiement mobile peut rapidement atteindre ses limites lorsque la protection des consommateurs est en jeu. Comme nous l’avons souligné plus haut, le régulateur compose difficilement avec l’immixtion des fournisseurs de services de paiement de type non financier dans le secteur des produits et des services financiers.

3 Investissement

De nombreuses innovations technologiques ont vu le jour durant les dernières décennies[147], ce qui a changé considérablement la façon dont les investisseurs accèdent aux services financiers. Qu’on les appelle « gestionnaires de portefeuille », « conseillers en ligne » ou encore « conseillers automatisés[148] » ; le « conseil automatisé » est l’une de ces innovations dont peuvent désormais profiter les consommateurs (3.2). Le questionnement de l’apparition et du développement des automates ne peut se faire sans aborder la thématique globale de l’émergence de l’intelligence artificielle, des robots et des incertitudes entourant leur responsabilité (3.1).

3.1 Intelligence artificielle, robot et responsabilité juridique

L’intelligence artificielle « n’est pas de la science-fiction », comme le souligne la communication de la Commission européenne, intitulée « L’intelligence artificielle pour l’Europe », adressée au Parlement européen, au Conseil européen, au Conseil, au Comité économique et social européen de même qu’au Comité des régions[149]. L’intelligence artificielle peut être définie comme « the theory and development of computer systems able to perform tasks that traditionally have required human intelligence[150] ». Pour les auteurs du Rapport de la Déclaration de Montréal pour un développement responsable de l’intelligence artificielle, un système d’intelligence artificielle désigne tout système informatique utilisant des algorithmes d’intelligence artificielle, que ce soit un logiciel, un objet connecté ou un robot[151]. Parmi les nombreuses applications de l’intelligence artificielle dans les secteurs bancaires et financiers figure l’automatisation des conseils. Bien entendu, le développement de l’intelligence artificielle amène l’apparition de nouveaux risques[152] et des enjeux éthiques non négligeables[153], et ce, sans compter les interrogations de nature juridique que ce système soulève[154] : « As the human impacts of robots and AI increase, so too will our efforts to regulate them[155]. »

L’apparition des robots[156] est l’objet de riches discussions tant les fantasmes du robot humanoïde hantent l’imaginaire humain qui y voit sa propre création. Il n’en demeure pas moins qu’à ce jour le terme « robot » résiste à toute systématisation[157]. En ce sens, Mark A. Lemley et Bryan Casey écrivent ceci :

To survey the range of definitions is to realize just how difficult this typological challenge is. In fact, history teaches that our efforts to define « robot » follow a familiar trajectory. Definitions appear. They date. They disappear. Some small number survive this churn. But their longevity is born of tradeoffs. They endure by relying on vagaries or generalities that render them under- or over-determined and, therefore, unilluminating. In other words, they don’t capture what it is that makes us want to regulate a particular technology in a particular way[158].

Ces auteurs proposent en conséquence une approche fonctionnelle basée sur six critères : « agenda », « automaticity », « autonomy », « agency », « ability » et « anthropomorphization »[159]. Dans le même sens, Ryan Calo attribue trois qualités principales au robot : « (1) a robot can sense its environment, (2) a robot has the capacity to process the information it senses, and (3) a robot is organized to act directly upon its environment », renvoyant au paradigme « sense, think, act[160] ». Neil Richards et William Smart, pour leur part, adoptent une position proche, tout en proposant une définition générale : « A robot is a constructed system that displays both physical and mental agency but is not alive in the biological sense. That is to say, a robot is something manufactured that moves about the world, seems to make rational decisions about what to do, and is a machine[161]. »

Les machines dotées d’intelligence artificielle sont entraînées pour prendre des décisions, faire des choix, agir[162]. Même si, actuellement, certains envisagent d’utiliser des systèmes d’intelligence artificielle et l’humain de manière complémentaire (c’est-à-dire en faisant des recommandations qui devraient nécessairement être validées par des personnes), il est possible que le recours à de tels systèmes aille grandissant et que l’on se fie de plus en plus aux décisions prises par les machines. Un des aspects de l’intelligence artificielle est précisément l’apprentissage automatique (machine learning[163]) qui entend donner à la machine de plus en plus d’autonomie. Le robot apprenant par lui-même est capable de prendre davantage de décisions sans intervention humaine, ce qui lui permet d’échapper de plus en plus au contrôle d’un tiers :

Cela soulève […] la question de l’imputabilité pour les décisions prises par des agents artificiels. En effet, qui sera responsable des mauvaises décisions prises par des systèmes d’IA et des inévitables défaillances technologiques ? [Q]ui devrait porter la responsabilité d’un accident imputable à un véhicule autonome ? L’équipe d’ingénieurs derrière la création des algorithmes décisionnels ? Ceux en charge de l’entraînement de la machine et de la préparation des données ? Ceux qui ont créé les senseurs qui devraient permettre au véhicule de percevoir correctement son environnement et de se diriger ? Le constructeur automobile qui a mis en marché le véhicule ? Le propriétaire, qui doit assumer une partie des risques inhérents à l’utilisation de son véhicule ? Le gouvernement qui a mis en oeuvre un cadre réglementaire possiblement lacunaire[164] ?

La question des dommages causés par les robots soulève des problématiques nouvelles[165]. La responsabilité, telle que la connaît le juriste, doit ainsi être repensée pour être adaptée aux machines autonomes et apprenantes[166]. En l’état du droit, un robot ne peut être tenu responsable de ses ratés[167]. En droite ligne, sur le plan philosophique, l’application des critères de responsabilité soulève des difficultés dans le contexte des nouvelles technologies, puisque le concept de responsabilité s’avère pour l’essentiel calqué sur un prototype de l’action individuelle[168]. Dans ces débats animés, les questions entourant la responsabilité civile sont envisagées[169], et les propositions pullulent[170]. Dans l’hypothèse d’un dommage causé à la suite de l’utilisation d’une application d’intelligence ou d’un robot, la mise en oeuvre des différents régimes de responsabilité extracontractuelle (responsabilité du fait personnel, responsabilité du fait d’autrui, responsabilité du fait des choses, responsabilité du fait des esclaves, etc.) et la création d’un nouveau régime de responsabilité[171] sont en effet l’objet de discussions[172] qui mettent en évidence les limites des mécanismes d’indemnisation actuels[173].

L’Union européenne s’investit depuis peu dans ces questions et s’est prononcée à plusieurs reprises au sujet de la responsabilité des acteurs du numérique en cas de dommages occasionnés à un tiers. Ses positions sont notables et font sérieusement avancer la réflexion en ce domaine. En 2017, le Parlement européen avait observé dans une prise de position remarquée ce qui suit :

Considérant que, dans l’hypothèse où un robot [pourrait] prendre des décisions de manière autonome, les règles habituelles ne suffiraient pas à établir la responsabilité juridique pour dommages causés par un robot, puisqu’elles ne permettraient pas de déterminer quelle est la partie responsable pour le versement des dommages et intérêts ni d’exiger de cette partie qu’elle répare les dégâts causés ;

Considérant que les lacunes du cadre juridique actuellement en vigueur sont patentes dans le domaine de la responsabilité contractuelle, étant donné que l’existence de machines conçues pour choisir un co-contractant, négocier des clauses contractuelles, conclure un contrat et décider quand et comment appliquer ledit contrat rend les règles habituelles inapplicables ; considérant que cela souligne la nécessité de mettre au point de nouvelles règles, efficaces et actualisées, adaptées aux évolutions technologiques et aux innovations qui sont apparues récemment et qui sont utilisées sur le marché[174].

Au vu de ces observations, le Parlement européen a demandé à la Commission européenne de présenter une proposition d’instrument législatif sur les aspects juridiques du développement et de l’utilisation de la robotique et de l’intelligence artificielle à l’horizon 2030 ou 2035, combinée à des instruments non législatifs, tels que des lignes directrices et des codes de conduite[175]. Le Parlement a aussi invité la Commission à examiner, à évaluer et à prendre en considération les conséquences de toutes les solutions juridiques envisageables, notamment :

  • a) la mise en place d’un régime d’assurance obligatoire, lorsque cela est justifié et nécessaire pour certaines catégories de robots, en vertu duquel, comme c’est déjà le cas pour les véhicules à moteur, les fabricants ou les propriétaires de robots seraient tenus de contracter une police d’assurance couvrant les dommages potentiels causés par les robots ;

  • b) la mise en place d’un fonds de compensation dont la fonction ne serait pas seulement de garantir un dédommagement lorsque les dommages causés par un robot ne sont pas couverts par une assurance ;

  • c) la possibilité pour le fabricant, le programmeur, le propriétaire ou l’utilisateur de contribuer à un fonds de compensation ou de contracter conjointement une assurance afin de garantir la compensation des dommages causés par un robot et de bénéficier en conséquence d’une responsabilité limitée ;

  • d) le choix entre la création d’un fonds général pour tous les robots autonomes intelligents ou la création d’un fonds individuel pour chaque catégorie de robot, ainsi que le choix entre un versement forfaitaire lors de la mise sur le marché du robot et des versements réguliers tout au long de la vie du robot ;

  • e) la création d’un numéro d’immatriculation individuel, inscrit dans un registre spécifique de l’Union, afin de pouvoir toujours associer un robot au fonds dont il dépend ; ce numéro permettrait à toute personne interagissant avec le robot de connaître la nature du fonds, les limites en matière de responsabilité en cas de dommages matériels, les noms et les fonctions des contributeurs et toute autre information pertinente ;

  • f) la création, à terme, d’une personnalité juridique spécifique aux robots, pour qu’au moins les robots autonomes les plus sophistiqués puissent être considérés comme des personnes électroniques responsables, tenues de réparer tout dommage causé à un tiers ; il serait envisageable de conférer la personnalité électronique à tout robot qui prend des décisions autonomes ou qui interagit de manière indépendante avec des tiers[176].

Récemment, le Parlement européen a de nouveau adopté une résolution, plus précisément le 12 février 2019[177], où il s’est proposé d’établir un cadre juridique pour l’intelligence artificielle, axé sur la notion d’éthique, laquelle interviendrait, selon une logique désormais bien connue, dès la conception de l’application. Il est important de « réévaluer régulièrement » la législation « afin de s’assurer qu’elle soit adaptée à son objectif en ce qui concerne l’IA », en vertu d’un principe « d’amélioration de la réglementation[178] ». Sur le plan de la méthode, le Parlement européen « estime qu’il convient d’envisager avec précaution toute loi ou réglementation globale de l’IA, car la réglementation sectorielle peut prévoir des politiques suffisamment générales mais également affinées jusqu’à un niveau significatif pour le secteur industriel[179] ».

La réflexion est telle qu’une partie de la doctrine (ainsi que le Parlement européen lui-même dans la Résolution du 16 février 2017 contenant des recommandations à la Commission concernant des règles de droit civil sur la robotique[180]) débat de la pertinence d’attribuer la personnalité morale aux robots[181]. Dans un article publié en 2017, le professeur Hubert De Vauplane s’interroge sur un possible élargissement de la notion de personne comme sujet de droit aux robots : « Si l’on considère que la personnalité juridique n’est qu’une fiction, tout devient possible[182]. » D’ailleurs, le courant en faveur de la consécration de la personnalité juridique du robot prend de l’ampleur à coup de milliers de dollars de communication[183]. Cependant, l’Union européenne semble moins encline que par le passé à consacrer une personnalité juridique aux robots. Les textes européens adoptés récemment mettent effectivement l’humain au centre des dispositifs technologiques utilisant l’intelligence artificielle. Le droit de l’Union européenne et des États membres[184] sur la responsabilité des outils autonomes se construit ainsi autour d’une finalité différente : maintenir la responsabilité de la personne humaine (et non reconnaître la responsabilité juridique des robots). Dans un document de travail de la Commission européenne daté du 18 décembre 2018, le High-Level Expert Group on Artificial Intelligence à l’origine de ce document intègre parmi les principes éthiques soulevés par l’intelligence artificielle le principe d’autonomie : « Preserve Human Agency ». À propos de ce principe, il peut être lu que, « to ensure human agency, systems should be in place to ensure responsibility and accountability. It is paramount that AI does not undermine the necessity for human responsibility to ensure the protection of fundamental rights[185] ». Le professeur Nicolas Vermeys, quant à lui, se montre réservé au sujet de l’attribution d’une personnalité juridique aux robots. Il observe en effet que, loin d’assimiler les robots aux personnes physiques, la majorité des auteurs militent en faveur d’une quasi-personnalité juridique, d’un statut limitrophe leur permettant d’agir à titre de mandataire[186]. Une solution serait donc de donner aux agents artificiels un statut d’agent qui leur permette une certaine forme de responsabilité correspondant aux capacités de la machine[187]. « Ce faisant, on peut s’attaquer en partie au problème de l’internalisme : si on admet une forme d’agencéité épistémique aux algorithmes qui font une partie de notre travail cognitif, on peut rendre compte de ce qui dilue notre responsabilité en imputant la source de cette dilution à une entité précise[188]. » Cependant, ce genre de projet fait face à de sérieuses réserves[189]. D’une part, il y a le risque de la déresponsabilisation : il existe un réel danger, par exemple, que les gens qui conçoivent des logiciels se servent de la responsabilité de leurs agents artificiels pour se défaire de la responsabilité liée à leur utilisation[190]. D’autre part, les prémisses de cette position prêtent le flanc à la critique tant elle assimile intelligence et capacité d’analyse statistique, et fait de l’intelligence le fondement de la responsabilité[191]. De plus, si les produits d’intelligence artificielle ont vocation à une certaine autonomie, celle-ci ne peut se confondre avec la conscience de l’être humain. L’autonomie d’un robot provient de sa capacité à prendre des décisions, sur la base de formules algorithmiques prédéfinies, et à les mettre en pratique dans le monde extérieur, indépendamment de tout contrôle ou de toute influence. N’est-ce pas alors une autonomie de nature purement technique qui dépend uniquement de la programmation du robot[192] ? Enfin, sans régler le problème de la réparation, cette solution brouille le construit juridique[193]. Finalement, Neil Richards et William Smart appellent à la prudence en matière de personnalité morale avec des mots qui ne laissent guère de place aux doutes :

This projection of human attributes is dangerous when trying to design legislation for robots. Robots are, and for many years will remain, tools. They are sophisticated tools that use complex software, to be sure, but no different in essence than a hammer, a power drill, a word processor, a web browser, or the braking system in your car. As the autonomy of the system increases, it becomes harder and harder to form the connection between the inputs (your commands) and the outputs (the robot’s behavior), but it exists and is deterministic[194].

De même, Hervé Jacquemin et Jean-Benoît Hubin soulignent que, non seulement le concept de personnalité électronique pourrait faire éclater les frontières entre la personne et la machine, ouvrant ainsi la voie à une confusion entre le vivant et l’inerte, entre l’humain et l’inhumain, mais encore que le concept de faute (élément moteur de la responsabilité du fait personnel) est intimement lié à l’activité humaine[195].

3.2 Automatisation du conseil financier

Depuis quelque temps[196], le recours à un automate pour l’exécution des ordres, les services de gestion de portefeuille automatisés et les outils comparatifs de prix se développe dans le secteur financier[197]. En parallèle, le secteur bancaire fait lui-même place à l’usage d’automates donnant des conseils pour la distribution de crédits, l’ouverture de comptes ou la réception de dépôts[198]. Or, « [t]he regulation of online advisors, often referred to as “robo-advisors”, continues to be a hot topic in the financial services industry[199] ». Les enjeux réglementaires soulevés par l’automatisation du conseil financier sont donc nombreux[200].

3.2.1 Notion d’automatisation du conseil financier

Les autorités réglementaires européennes offrent une synthèse intéressante de ce qu’englobe l’automatisation du conseil financier :

A website where an investor (or potential investor) uses an online questionnaire to enter information about his or her specific circumstances, including the investor’s risk appetite ; investment goals ; and facts relating to the investor’s life and situation (for example, this might include : the investor’s tax situation, marital or relationship status, the investor’s career and retirement plans, what other investments and assets the investor has, the investor’s financial resources and commitments, and the investor’s plans for their family in the short and longer term). The tool then uses this information to automatically generate recommended transactions in relation to one or more financial instruments. For example, this could include (amongst other things) recommendations for the investor or potential investor to buy, sell, subscribe for, exchange, redeem, hold or underwrite particular financial instruments. The recommendation is presented as suitable[201].

L’automate est en fait une plateforme électronique sur laquelle un client répond à un questionnaire. L’automatisation exclut l’intervention humaine. Ainsi, le conseil est donné directement au consommateur par un automate qui met en oeuvre un processus automatisé reposant sur les algorithmes[202] et les arbres de décision[203]. Une plateforme va demander au consommateur son âge, ses objectifs, ses revenus, sa tolérance au risque et son niveau de connaissance sur les produits financiers courants, c’est-à-dire des questions analogues à celles qui seraient posées en personne par un conseiller financier[204]. Selon les réponses données, un algorithme détermine alors le produit à conseiller au client[205]. À la suite du choix du portefeuille par le client, l’automate rééquilibre le portefeuille au besoin (par exemple, à la suite de la réception de dividendes ou de la vente d’actifs moins performants)[206] et peut faire un suivi annuel pour s’assurer que les besoins n’ont pas changé[207].

Il est donc inexact de parler de « conseiller » (l’analyse n’est pas faite par un conseiller en personne[208]) ou de « robot » (puisqu’une ligne de code n’est pas une machine indépendante d’un ordinateur). De plus, le service ne peut être entièrement automatisé au Canada selon une décision rendue par les autorités réglementaires[209]. Le conseiller-robot constitue plutôt une automatisation d’une méthode qui ressemble davantage à une formule mathématique qu’à une machine possédant une véritable autonomie, sachant qu’au Canada cette formule est contrevérifiée par des conseillers physiques. En outre, « [t]he biggest myth surrounding robo-advisers is that they operate as robots, or independent machines, as the name suggests […] However, this paper demonstrates that humans currently play, and will continue to play, a crucial role in the operations of robo-advisers[210]. »

Les conseillers-robots sont apparus au Canada en 2014[211] après une croissance aux États-Unis ininterrompue depuis 2008[212]. Au Canada, la première société de courtage ayant offert des logiciels de conseillers-robots était ShareOwner en mai 2014[213]. Aujourd’hui, il y a plus d’une dizaine de services de conseillers-robots différents sur les bourses canadiennes[214], qui gèrent une somme s’élevant à environ un milliard de dollars en 2016. Il est intéressant de souligner que seulement 38 % des Canadiens utilisaient les services d’un conseiller financier en 2015[215]. En d’autres termes, les conseillers-robots ont le potentiel de toucher une partie importante de la population s’ils gagnent la confiance du public et se démarquent suffisamment des conseillers en personne.

Selon un sondage mené pour le compte de BMO Gestion de patrimoine[216], les milléniaux sont ceux qui utilisent actuellement le plus les conseillers-robots. Une proportion de 16 % des personnes sondées ayant fait des placements s’était adressée à ces conseillers. La situation s’explique facilement par leur accoutumance à l’usage des technologies numériques dans la majorité des sphères de leur vie et par leur capital accumulé de moins grande importance qui rend plus difficile l’accès à des conseils personnalisés[217]. Pourtant, le nombre d’usagers au sein des autres générations, soit les Y et les baby-boomers, n’est pas négligeable non plus, soit 6 % et 7 % respectivement. Le nombre d’usagers de la génération X serait en croissance depuis 2012[218].

Près de la moitié (47 %) des consommateurs canadiens utilisent les services bancaires en ligne et 32 % d’entre eux ne font appel qu’au numérique[219]. Une grande proportion de la population est donc déjà préparée à cette forme de gestion de sa vie financière.

3.2.2 Possibilités et risques de l’automatisation du conseil financier[220]

L’automatisation du conseil financier peut profiter au consommateur[221] et au professionnel[222].

Pour ce qui est du consommateur, ce sont notamment le coût, l’accès et la qualité du service qui sont mis de l’avant. L’automatisation du conseil financier est moins onéreuse que le conseil délivré par un employé[223]. À titre d’exemple, une firme américaine telle que Charles Schwab s’est permis d’offrir un service de placement sans frais de gestion. Au Canada, Wealthsimple a abaissé ses frais à 0,60 % et à 0,25 % selon la somme investie, alors que les frais en question dépassent habituellement 2,00 %[224]. Par ailleurs, le conseil profite à un nombre important de clients qui ont eux-mêmes accès à un grand nombre de professionnels offrant des services automatisés. Certains évoquent une forme de « démocratisation » de l’offre des services financiers[225]. En outre, les conseils donnés par un automate s’avèrent plus substantiels, sont mis à jour régulièrement et peuvent être conservés aisément[226]. Ajoutons à ces avantages que les plateformes se révèlent simples d’utilisation et présentent l’information de manière très structurée, ce qui peut dans certains cas faciliter l’obtention de la confiance du client[227].

Concernant les professionnels, ces derniers ont la possibilité de proposer leurs services à un coût moindre, tout en ayant accès à un nombre important de clients. Par ailleurs, la qualité du service est accrue. Notons que l’automatisation du conseil permet de limiter les erreurs occasionnées par l’intervention humaine[228]. L’automate propose ainsi un service qui serait au-dessus des limites et des failles inévitables de toute personne humaine[229].

De l’autre côté du spectre, l’automatisation du conseil financier est porteur de risques qui ne doivent pas être négligés[230]. Les conseillers-robots ont en effet des défauts humains[231]

À l’égard des consommateurs, la compréhension de l’information communiquée[232] et l’interprétation des conseils donnés peuvent être problématiques[233]. En l’absence d’une compréhension des hypothèses et de la démarche méthodologique employée, les conseils peuvent ne pas correspondre aux besoins du consommateur[234]. En outre, l’outil automatisé peut être manipulé[235] ou ne pas fonctionner assez rapidement, ce qui rendra le conseil inadapté. Par ailleurs, l’utilisation généralisée des conseillers-robots peut conduire les consommateurs à répéter les mêmes opérations et à réduire l’offre de conseils. De plus, l’automate ne tient compte que des données qui lui sont fournies par le client ; or, la pratique démontre que le nombre de questions varie suivant les plateformes[236] et que leur qualité est discutable[237]. Un autre risque est souligné dans la littérature, soit le fait qu’un automate n’a aucune intelligence émotionnelle et qu’il est incapable de lire les inquiétudes et les incompréhensions des consommateurs[238].

Pour les professionnels, les risques se révèlent également multiples : incertitude sur la répartition des responsabilités quand les institutions financières font appel à des entreprises spécialisées dans la technologie financière pour fournir le service automatisé ou encore exposition à des risques réputationnels et judiciaires[239] en cas de dysfonctionnement de l’automate[240].

3.2.3 Encadrement réglementaire canadien de l’automatisation du conseil financier

Les autorités réglementaires canadiennes[241], dont l’AMF, ont décidé d’adopter une position réservée relativement aux changements observés sur les marchés financiers[242]. En droite ligne de la position européenne la plus récente, leur choix est celui d’une « technology-neutral regulation[243] ». Assujettie à l’autorité réglementaire de l’AMF, l’automatisation du conseil financier est soumise à l’ensemble des obligations qui incombent aux gestionnaires de portefeuille offrant leurs services selon un modèle d’affaires traditionnel : « En effet, s’étant intéressée à l’encadrement des robots-conseillers, l’AMF a choisi de maintenir le mode d’encadrement traditionnel en procédant par analogie pour réglementer les services-conseils offerts par le biais de nouvelles technologies[244]. »

En ce sens, l’Avis 31-342 des Autorités canadiennes en valeurs mobilières (ACVM)[245] précise qu’aucune dispense aux conditions d’inscription n’est prévue pour les gestionnaires de portefeuille exerçant à titre de conseillers en ligne[246]. « Within the Canadian hybrid model of online advisers, human representatives must review every advice generated to ensure its suitability[247] » : à la différence de ce qui se produit aux États-Unis, l’humain n’est pas chassé du conseil financier au Canada[248]. Cela signifie que l’intermédiaire de marché doit se soumettre aux conditions d’inscriptions habituelles, aux normes de conduite et aux obligations continues des personnes inscrites prévues dans le Règlement 31-103 sur les obligations et dispenses d’inscription et les obligations continues des personnes inscrites[249], ainsi qu’à l’« Instruction générale relative au règlement 31-103 sur les obligations et dispenses d’inscription et les obligations continues des personnes inscrites[250] ». Voilà qui suppose que l’intermédiaire de marché doit et devra également respecter les nouvelles réformes réglementaires amenées par le modèle relation client-conseiller (MRCC), dont celle d’offrir un rapport sur le rendement, les frais et les autres types de rémunération[251] rattachés à l’utilisation de ce service. À défaut d’être inscrit conformément au Règlement 31-103[252], l’intermédiaire de marché ne pourra se prévaloir de l’option d’offrir un service de conseil en ligne. Cette prohibition est notamment prévue, pour ce qui est des gestionnaires de fonds d’investissement, par les articles 148 et 149 de la Loi sur les valeurs mobilières[253].

Constatant la croissance du service d’automate, la Commission des valeurs mobilières de l’Ontario (CVMO) a publié l’Avis 33-745 du personnel de la CVMO (Annual Summary Report for Dealers Advisers and Investment Fund Managers) dans lequel elle présente ses attentes par rapport au conseiller en ligne[254]. La CVMO y souligne que le candidat doit inclure un plan d’affaires détaillé au processus d’inscription et que celui qui a l’intention de fournir des conseils en ligne sera soumis à un examen plus rigoureux de la part des ACVM, notamment à l’égard du processus de connaissance du client ainsi que de la sécurité et de l’intégrité du système de collecte de données à son sujet[255]. À cela s’ajoute un examen de conformité mené par le personnel des ACVM ayant lieu au cours des deux premières années suivant la date d’inscription[256]. Par la suite, les ACVM y ont apporté quelques précisions dans l’Avis 31-342 des ACVM, sans changer de façon significative l’essence de l’Avis 33-745 de la CVMO. Elles ont cependant confirmé « qu’il n’exist[ait] pas [à proprement dit] de processus distinct pour les candidats qui souhaitent s’inscrire pour exercer des activités sur une plateforme en ligne[257] ».

Il reste néanmoins à déterminer de quelle façon et par quel mécanisme le conseiller en ligne est en mesure de respecter son devoir de loyauté et de diligence, sachant qu’il faut prendre en considération notamment les exigences prévues dans le Règlement 31-103 concernant la bonne gestion de la relation avec les clients, et ce, particulièrement en ce qui a trait à l’obligation d’évaluer la convenance du client et sa connaissance du marché[258]. Afin de tracer le portrait le plus fidèle possible du client, la plateforme en ligne doit être interactive pour permettre l’extraction de l’information nécessaire à la bonne connaissance du profil de l’investisseur. L’information recueillie devra ensuite faire l’objet d’un examen par le représentant-conseil, celui-ci ayant la responsabilité de déterminer si ces renseignements permettent de faire les recommandations appropriées et à la convenance du client[259]. Toutefois, l’Avis 31-342 rappelle que « [l]a collecte d’information relative à la connaissance du client d’un conseiller en ligne doit équivaloir à un échange pertinent avec le client actuel ou éventuel, même s’il ne prend pas la forme d’une rencontre en personne[260] ». Cela dit, la plateforme devra prévoir une mise à jour annuelle des renseignements du client et permettre également les mises à jour ponctuelles. Le rôle du représentant-conseil du gestionnaire en ligne sera à ce moment-là d’évaluer à nouveau, compte tenu des changements, si le portefeuille recommandé par l’entremise de la plateforme en ligne convient toujours. À noter que certains logiciels soulèveront eux-mêmes les incohérences des éléments de réponse du client permettant d’optimiser et de faciliter le contrôle exercé par l’intermédiaire physique. C’est donc à partir de ces renseignements vérifiés que le représentant-conseil aura l’obligation de s’assurer que l’opération et le produit de placement résultant du questionnaire en ligne conviennent au profil établi de l’investisseur[261].

Toute personne inscrite offrant ce type de services doit avoir une pleine compréhension de la structure et des caractéristiques du produit d’investissement qu’elle propose[262]. L’obligation de connaissance du produit est d’autant plus importante lorsqu’il s’agit d’un intermédiaire de marché physique agissant à titre de représentant-conseil du conseiller en ligne. Sa responsabilité étant d’évaluer la convenance du placement, il ne peut l’effectuer correctement qu’avec une parfaite compréhension de ses produits de placement. À cet effet, en vertu de l’Avis 33-315, le personnel des ACVM recommande à la société inscrite de mettre en place une formation pour ses représentants afin qu’ils aient pleinement connaissance du produit et des risques inhérents à celui-ci[263].

Pour ce qui est de la protection de l’investisseur, le conseiller en ligne devra respecter ses deux devoirs fondamentaux de loyauté et de diligence[264], ainsi que l’obligation de connaissance du client et du produit permettant de faire une recommandation à la convenance de l’investisseur avec lequel il fait affaire[265]. A priori, l’investisseur pourrait obtenir une certaine protection contre la faillite éventuelle de l’automate membre du Fonds canadien de protection des épargnants ou de sa société par l’intermédiaire de la Corporation de protection des investisseurs de l’Association canadienne des courtiers de fonds mutuels[266]. Ces protections sont cependant limitées et elles s’appliquent essentiellement en cas d’insolvabilité du courtier inscrit[267].

Conclusion

L’écosystème bancaire et financier est en mutation depuis plusieurs années. Bousculées par les entreprises de nouvelles technologies, les institutions financières traditionnelles doivent réagir ou abdiquer. Les enjeux de l’impact technologique se révèlent donc considérables. Trois principaux fronts montrent des signes de vulnérabilité : le système bancaire dans son ensemble, les paiements et l’investissement. En permettant aux entreprises non financières d’accéder au compte bancaire des clients des institutions financières, les banques doivent non seulement collaborer mais, surtout, assurer la sécurité des données de leurs clients. À titre d’illustration, cet accès peut avoir pour motifs d’obtenir des renseignements bancaires en vue d’offrir une consolidation de comptes de diverses institutions financières ou de faciliter une opération de paiement. S’agissant de produits et de services d’investissement, l’intelligence artificielle et l’automatisation du conseil financier constituent un défi pour les autorités réglementaires qui doivent maintenir leur surveillance des marchés et de leurs acteurs dans un contexte de plus en plus complexe. En ce qui concerne le service d’investissement, l’impact technologique est considérable pour le juriste qui ne peut y échapper. Dominique Payette relève ainsi que « [l]egislation and regulation as they exist today never contemplated the types of technology and innovative business models like robo-advisers as they now exist[268] ». Alors que l’automatisation du conseil financier présente d’indéniables avantages et constitue une occasion certaine pour les « consommateurs-investisseurs-épargnants » et l’industrie financière, elle présente des risques à ne pas négliger[269]. Ce constat ne poserait pas de problème si l’encadrement réglementaire actuellement en place au Canada ne montrait pas ses limites quant aux pratiques de l’industrie qui se développe à grande vitesse.

Alors que l’Union européenne a élaboré un environnement réglementaire à cet égard, les interventions législatives canadiennes se montrent plus prudentes tout en demeurant présentes. Elles en sont à la phase initiale : la première vague de modifications de la Loi sur les banques[270], des avis des ACVM, de l’AMF et de la CVMO[271] et des études approfondies par Paiements Canada. L’écosystème bancaire et financier se métamorphose graduellement et le législateur canadien s’est clairement mis en mouvement. Comme l’illustre la thématique de l’automatisation du conseil financier, le Canada n’est pas isolé, même si sa réaction semble plus en retrait que celle d’autres États. Plusieurs d’entre eux et des autorités nationales ont fait évoluer leur droit, sans toutefois qu’un consensus se dégage. Une observation rapide de l’attitude du législateur canadien (ministre des Finances du Canada, Paiements Canada, ACVM, AMF, etc.) démontre tout de même qu’une réflexion sérieuse est en cours. Si la position des autorités réglementaires canadiennes n’est pas encore arrêtée, celles-ci doivent avoir conscience que leur travail ne peut se faire qu’au vu d’un objectif : rechercher l’équilibre entre le maintien d’un certain laisser-faire de l’industrie susceptible de soutenir l’innovation et la protection des consommateurs. Les nouvelles technologies ne signifient pas une déresponsabilisation de l’industrie bancaire, pas plus qu’elles n’impliquent la mise en place d’un paternalisme excessif. L’inspiration européenne dicte plutôt l’importance d’une coordination entre les divers acteurs en vue d’élaborer un encadrement juridique soucieux de l’écosystème bancaire et financier du xxie siècle.