Votre guide de la section 1033 du CFPB : Comprendre l’élaboration des règles du CFPB

Note de l’éditeur : La règle finale 1033 a été publiée le 22 octobre 2024. Cet article reflète la compréhension de Mastercard de la règle proposée telle que publiée en octobre 2023. Nous examinons la règle dans son intégralité. Notre objectif est de faire progresser l’open banking d’une manière qui soutient de manière responsable tous les acteurs de l’écosystème. Nous continuerons de vous soutenir pendant que nous naviguons tous dans ce règlement.

L’explosion des nouvelles expériences de services financiers, alimentées par les applications fintech pour les consommateurs et les petites entreprises, a propulsé l’essor de la technologie bancaire ouverte aux États-Unis et dans le monde entier. Tous les acteurs du secteur du crédit à la consommation doivent maintenant repenser ce qui est possible lorsque les consommateurs et les petites entreprises ont le plein contrôle de leur vie financière. 

Le Consumer Financial Protection Bureau (CFPB) saisit ce moment d’innovation avec la règle tant attendue de l’article 1033 de la loi Dodd-Frank, qui accélérera l’adoption des technologies de système bancaire ouvert et protégera les intérêts des consommateurs à mesure que nous avançons dans l’avenir numérique. Cette règle proposée devrait être finalisée au cours du second semestre de 2024. Avec des décennies de leadership en matière de responsabilité des données, les principes de Mastercard s’alignent sur les principes de l’élaboration des règles du CFPB et notre rôle est de protéger ces données.

Mastercard a créé cette introduction pour décrire les dispositions de la section 1033 du CFPB et expliquer comment les banques, les fintechs et les autres détenteurs de données financières des consommateurs seront affectés par la règle proposée. Lisez la suite pour découvrir ce que l’élaboration de règles CFPB 1033 signifie pour vous - et comment Mastercard équipe les clients pour prospérer dans ce nouveau paysage. 

Index

1. Qu’est-ce que le CFPB ?
2. Que dit l’article 1033 de la loi Dodd-Frank sur les droits des consommateurs à accéder aux données financières ?
3. Quel est le rôle du CFPB dans l’élaboration des règles de l’article 1033 ?
4. Quelles sont les parties touchées par l’article 1033 du CFPB ?
5. Quel est l’impact de la réglementation proposée sur les droits des données financières personnelles ?
6. Quels types de données sont couverts par la règle d’open banking du CFPB ? 
7. Quand le règlement sur l’open banking entrera-t-il en vigueur ? 
8. Comment Mastercard peut-elle aider ? 
9. Où puis-je en savoir plus ?

Le Consumer Financial Protection Bureau est un organisme indépendant du gouvernement fédéral des États-Unis, créé à la suite de la crise financière de 2007-2008 pour protéger les intérêts des consommateurs sur les marchés financiers et promouvoir la stabilité à long terme de l’économie en général.  

Le CFPB a été créé en vertu de la loi Dodd-Frank Wall Street Reform and Consumer Protection Act de 2010, mieux connue sous le nom de Dodd-Frank, afin de fournir un point de responsabilité unique pour protéger les consommateurs contre les pratiques financières déloyales, trompeuses ou abusives et pour prendre des mesures contre les entreprises qui enfreignent la loi.

La section 1033 de la loi Dodd-Frank établit le droit des consommateurs à accéder aux données financières associées aux produits et services financiers qu'ils utilisent, tels que les cartes de crédit, les dépôts et les comptes d'épargne.  Ces données comprennent les détails du compte, les transactions, les soldes et plus encore, et sont soumises aux règles proposées par le CFPB.

L’article 1033 donne au CFPB le pouvoir d’émettre des règles régissant les droits relatifs aux données financières personnelles.  Le CFPB travaille à la mise en œuvre de cette réglementation depuis 2016.  

Voici quelques étapes clés :

• Publication d’un ensemble de principes de protection des consommateurs (2017) 
• tenue d’un symposium sur l’accès des consommateurs aux documents financiers (2020) 
• Publication d’une documentation détaillée sur les propositions de réglementation et les solutions de rechange à l’étude (2022) 
• la convocation d’un comité d’examen des petites entreprises et la publication d’un rapport sur ses conclusions (2023)

En octobre 2023, le bureau a publié son projet de règle et a ouvert une période de commentaires publics jusqu’au 29 décembre 2023. Depuis, le CFPB s’efforce de finaliser le règlement écrit. Une fois qu’elle entrera en vigueur, la règle proposée servira de mise en œuvre de l’article 1033 de la loi Dodd-Frank.

• Fournisseurs de données – institutions financières et certains facilitateurs de paiement
• Destinataires de données tiers – fintechs et institutions financières agissant au nom des consommateurs en tant que destinataires de données et agrégateurs de données agissant en leur nom
• Organismes de normalisation qualifiés de l’industrie – émetteurs de normes sectorielles équitables, ouvertes et inclusives reconnus par le CFPB

D’une manière générale, la règle d’open banking du CFPB est un cadre de réglementations et de normes industrielles qui offre aux consommateurs la propriété et le droit de contrôler leurs données financières ; l’amélioration de la protection des consommateurs ; et la cohérence dans la façon dont les données peuvent être consultées et utilisées.  

La proposition du CFPB exigera des institutions financières et de certains facilitateurs de paiement qu’ils mettent les données financières à la disposition des consommateurs et des destinataires de données tiers autorisés.  

De plus, la règle proposée :

• décrit les obligations et les limites de la collecte, de l’utilisation et du stockage des données des consommateurs par les entreprises  
• exige des banques qu’elles partagent les données dans un format normalisé au moyen d’interfaces de programmation d’applications (API) sûres et sécurisées. 
• cherche à donner aux consommateurs les moyens d’accéder à leurs données financières 
• permet un meilleur accès aux produits financiers 
• et relance la concurrence entre les banques de toutes tailles, les fintechs et autres acteurs numériques

• Informations sur les transactions, y compris les montants, les dates, les bénéficiaires, les données historiques et les frais. 
• Soldes de comptes 
• Numéros de compte et d’acheminement, tokenisés et non tokenisés 
• Modalités, y compris les barèmes de frais, les taux, les conditions de récompenses et la couverture en cas de découvert 
• Des informations sur les factures à venir, comme les montants des paiements minimums
• Informations de base sur la vérification du compte, y compris les noms, les adresses postales, les adresses e-mail et les numéros de téléphone.

Bien que le CFPB n’ait pas donné de date exacte, il a indiqué qu’il finaliserait la règle proposée vers la fin de 2024, avec un calendrier de conformité à plusieurs niveaux, ce qui rend encore plus important que les fournisseurs de services financiers soient prêts pour le changement.

• Tout d’abord, le CFPB doit finaliser l’élaboration des règles. 
  • Bien que le bureau n’ait pas donné de date exacte, la section 1033 du CFPB devrait être finalisée au cours du second semestre de 2024, très probablement à l’automne. 
• Les tiers doivent s’y conformer dans un délai de 60 jours.  
• Pour les tiers autorisés par les consommateurs, la règle proposée par le CFPB entre en vigueur 60 jours après la date de l’élaboration de la réglementation finale.  
  • Le délai proposé pour se conformer à la règle du CFPB varie en fonction de la taille de l’institution financière. Les banques et autres institutions qui détiennent des dépôts auront entre six mois et quatre ans pour s’y conformer, en fonction de leurs actifs. Les institutions autres que les institutions de dépôt disposeront de six ou de 12 mois, selon les revenus annuels. Le CFPB a détaillé cette approche à plusieurs niveaux comme suit : 

Chez Mastercard, nous pensons que les consommateurs sont propriétaires de leurs données financières. Ils devraient avoir le contrôle de la façon dont il est utilisé et par qui il est utilisé, et devraient en bénéficier. Le rôle de Mastercard est de protéger ces données et d’aider les fournisseurs de données à faire de même.  

La règle proposée par le CFPB appelle au partage sécurisé et autorisé des données entre les interfaces de développement, ou API. La mise en conformité s’avérera complexe, car les institutions financières doivent décider de créer des API sur leur infrastructure existante ou d’externaliser, ainsi que d’aborder d’autres domaines, y compris, mais sans s’y limiter, la gestion du consentement, la sécurité des informations et la gestion des risques liés aux tiers.  

En tant que leaders de confiance avec plus de 55 ans d’expérience dans l’aide aux partenaires pour naviguer dans les réglementations et se conformer à la réglementation, nous sommes là pour vous guider dans la conformité à la section 1033 du CFPB - et dans le dépassement des attentes de vos clients grâce à des expériences financières nouvelles et améliorées - alors que nous façonnons l’avenir de la finance, côte à côte.

Retrouvez tout le contenu de notre CFPB, y compris les webinaires, les livres blancs et les guides avec ceux-ci :

Livre blanc sur l’orchestration de l’Open Banking aux États-Unis

Comprendre et se préparer à la réglementation à venir

Naviguer dans la réglementation du système bancaire ouvert CFPB 1033 – webinaire sur demande

Se préparer à l’avenir des normes API d’open banking et à la prochaine réglementation CFPB 1033 – webinaire à la demande

FDX Developer Hub – documentation pour les API conformes à FDX