La gestion des informations personnelles est particulièrement importante dans le secteur financier, car les institutions financières détiennent des informations personnelles sensibles sur leurs clients. La plupart de ces informations sont potentiellement lucratives pour les criminels qui cherchent donc à se les approprier.
Il est donc essentiel que ces informations soient protégées contre la cybercriminalité, mais également qu’elles ne soient pas utilisées ou traitées d’une manière pour laquelle le client n’a pas consenti, souligne une lettre récente de l’Association canadienne du commerce des valeurs mobilières (ACCVM).
De même, l’évolution de la technologie offre des services qui n’avaient pas été prévus ou imaginés au moment de la collecte des données. Étant donné que la technologie est en constante évolution, il semble difficile d’informer le client et obtenir son consentement à chaque étape.
La législation internationale
L’initiative réglementaire la plus importante et la plus complète à ce jour est le Régime général de protection des données (« GDPR ») adopté par l’Union européenne en 2016. Cette réglementation comporte des dispositions qui s’appliquent notamment à tous les pays faisant des affaires en Europe.
Cette loi contient un certain nombre de principes qui ont été adoptés ou proposés dans la réglementation sur la protection de la vie privée par d’autres juridictions, dont le Canada, notamment :
- De consentir à l’utilisation et au traitement de ses données
- De s’opposer à la prise de décision automatisée utilisant ses données
- De pouvoir accéder en tout temps à ses données détenues par une organisation
- De rectifier toute erreur dans ses données
- Être informé quand ses données sont utilisées
- Pouvoir demander à tout moment la suppression de ses données
En outre, cette loi énonce des principes à prendre en compte lors de la collecte des données :
- Collecter le moins de données possible pour atteindre l’objectif recherché
- S’assurer que les impacts de l’utilisation des données sont compris et justifiés
- La raison du traitement des données personnelles doit être clairement établie et indiquée lors de la collecte des données
- Les entreprises doivent intégrer la protection de la vie privée dans leurs systèmes et veiller à ce que la protection des données soit garantie dans les paramètres standard du système
L’adoption de ces droits a été critiquée par plusieurs qui les jugent peu pratiques ou difficilement opérationnels. Ainsi l’exigence générale en matière de consentement pourrait, selon certains, entraîner une paralysie opérationnelle et une lassitude du consentement des clients, étant donné que les mécanismes de traitement des données courantes et nouvelles, essentiels à la prestation de services aux clients, nécessiteraient la divulgation et le consentement. Cela irait notamment à l’encontre de la protection des clients, car les demandes constantes de consentement fondées entraîneraient un clic automatique sur la case de consentement sans en comprendre les implications.
Le ministère de l’Innovation, des Sciences et du Développement économique (ISED) canadien qui est chargé de rédiger et modifier la Loi sur la protection des renseignements personnels et les documents électroniques (« LPRPDE ») tente d’équilibrer les préoccupations des entreprises et l’effet de la réglementation sur l’innovation, en élaborant ses propositions de modifications de la législation. Il est toutefois important que la réglementation canadienne en matière de protection de la vie privée soit officiellement reconnue par les régulateurs de l’Union européenne pour permettre le transfert de données personnelles de citoyens de l’UE au Canada sans que des mesures de protection supplémentaires soient nécessaires.
Pour le moment, l’ISED affirme vouloir conserver une structure de réglementation neutre sur le plan technologique et fondé sur des principes qui offre à l’industrie une certaine souplesse pour atteindre les objectifs énoncés dans la législation.
Les modifications proposées à la LPRPDE, qui devaient être publiées au printemps 2020, ont été retardées en raison de la pandémie de la COVID-19.
Quelques tendances en matière de protection des données
Bien qu’il soit encore impossible de donner une date définitive pour la publication des modifications à la LPRPDE, certaines tendances au niveau international nous donnent un indice sur certains points de cette future loi.
1) Une réglementation accrue
Les États-Unis et d’autres juridictions internationales ont modifié ou prévu de modifier leur réglementation. Une grande partie de cette nouvelle réglementation aborde les questions articulées dans la GDPR, y compris les droits des clients décrits ci-dessus. Bien que la pandémie de la COVID-19 ait retardé la publication de la réglementation canadienne proposée, les entreprises opérant dans d’autres juridictions dotées d’une telle réglementation pourraient devoir modifier leurs pratiques afin de se conformer à ces dispositions.
2) La fin des « cimetières de données »
Comme le stockage numérique est peu coûteux, beaucoup d’entreprises conservent les données même après utilisation. On peut s’attendre à ce que la nouvelle réglementation règle cela. Surtout que les clients veulent toujours plus savoir quelles informations personnelles les entreprises détiennent et, conformément à la réglementation en vigueur dans certaines juridictions, exigent la suppression de ces informations.
3) Nouveaux rôles et opérations intégrées
Un effort interservices sera nécessaire pour garantir que toutes les données entrantes et existantes, utilisées à des fins multiples, soient gérées conformément aux politiques internes conçues pour respecter la réglementation.
Ainsi, en plus de la fonction de responsable de la protection de la vie privée, d’autres départements tels que les RH, le marketing, le service juridique et la conformité peuvent avoir à créer des rôles spécifiques avec la responsabilité de gérer les données qui transitent par leurs départements.
Les entreprises devront veiller à ce que les personnes soient correctement formées pour comprendre les exigences en matière de protection de la vie privée et les incidences de leurs politiques.
4) Augmentation des amendes
Comme en Europe, on peut s’attendre à ce que les régulateurs canadiens proposent d’accroître la capacité d’imposition d’amendes aux entreprises, ainsi que d’inclure des droits d’action privés dans la réglementation. Un risque financier accru pour les violations de la vie privée permettra de garantir que cette gouvernance sera portée au niveau des cadres supérieurs.
5) L’accent sur la transparence
En raison des récentes affaires montrant l’utilisation abusive de données, les consommateurs ont indiqué être plus disposés à faire confiance aux entreprises qui leur donnent le contrôle de leurs informations.
La protection et le contrôle des données deviennent donc une question de concurrence. Les entreprises vont devoir mettre à jour leur politique de protection, mais aussi : bien les communiquer à leurs clients.
6) Gestion des risques par des tiers
La GDPR tient les entreprises responsables du contrôle des données personnelles de leurs clients, même lorsqu’elles font affaires avec des tiers. On s’attend ainsi à ce que les entreprises prennent des mesures contractuelles pour s’assurer que les tierces parties avec lesquelles elles travaillent protègent les données des clients.