Services financiers et Protection des renseignements confidentiels, vie privée et cybersécurité bulletin

Les récentes modifications proposées à la Loi sur les banques, lesquelles étendraient le pouvoir des banques et des autres institutions financières pour entreprendre des activités dans le domaine des technologies financières, ont été ralenties devant le Comité sénatorial des banques et du commerce. Les modifications proposées ont été examinées lors de récentes audiences tenues par le Comité, au cours desquelles des préoccupations ont été soulevées concernant des enjeux politiques liés aux technologies financières, au système bancaire ouvert, ainsi qu'au contrôle et à la protection des données des clients. Le présent bulletin résume les enjeux clés soulevés lors des audiences et explique comment ceux-ci sont liés aux questions politiques générales à trancher.

Modifications proposées

La Loi no 1 d'exécution du budget de 2018 (le « Projet de loi sur le budget »), déposée plus tôt cette année, propose les modifications suivantes à la Loi sur les banques, à la Loi sur les sociétés de fiducie et de prêt et à la Loi sur les sociétés d'assurances :

  • Des pouvoirs étendus conférés aux institutions financières pour l'aiguillage de clients vers d'autres entités.
  • Des pouvoirs étendus conférés aux institutions financières pour recueillir, traiter et transmettre des renseignements, et prendre part à un large éventail d'activités technologiques sans avoir obtenu d'approbation des autorités de réglementation.
  • De nouveaux pouvoirs conférés aux institutions financières pour commercialiser des activités élaborées à l'interne et les offrir à des tiers.
  • De nouveaux pouvoirs conférés aux institutions financières pour fournir des services d'identification, de vérification et d'authentification.
  • De nouveaux pouvoirs conférés aux institutions financières pour investir dans des entités, dont la « majorité » des activités sont liées aux services financiers qu'une institution financière est autorisée à mener.

Il n'y a pas consensus sur la mesure dans laquelle les banques détiennent déjà certains de ces pouvoirs, lesquels s'inscriraient dans « l'exercice d'activités bancaires ». En outre, il est envisagé que ces nouveaux pouvoirs étendus seront encadrés par des règlements qui n'ont pas encore été publiés. Néanmoins, ces modifications constituent une importante évolution et, si elles sont mises en Suvre, elles accorderaient aux banques des pouvoirs explicites pour entreprendre un large éventail d'activités liées aux technologies novatrices1.

Ces modifications proposées ont été accueillies favorablement par le secteur bancaire, qui est généralement d'avis que les dispositions actuelles de la Loi sur les banques nuisent à l'innovation et ne suivent pas le rythme des progrès technologiques. En réponse au document de consultation, l'Association des banquiers canadiens (ABC) a affirmé que la Loi sur les banques, dans sa version actuelle, impose des obstacles coûteux aux partenariats avec les entreprises de technologies financières, qui sont les vestiges d'une époque où le lien, désormais solide, entre la technologie et les activités bancaires était beaucoup moins évident. Au cours des dernières années, de nouvelles technologies novatrices sont devenues partie intégrante de presque tous les secteurs, et ces obstacles législatifs nuisent à la capacité des banques à tirer parti au maximum des produits que les entreprises des technologies financières peuvent offrir2.

Système bancaire ouvert

Les modifications proposées sont conformes aux efforts visant l'établissement d'un système bancaire ouvert, en vertu duquel les consommateurs pourraient, s'ils le souhaitent, communiquer leurs propres renseignements bancaires à d'autres fournisseurs de services financiers, ainsi qu'à d'autres entreprises.

L'an dernier, le ministère des Finances a publié un document de consultation intitulé « Mesures stratégiques possibles pour soutenir une économie forte et en croissance : Préparer le secteur financier du Canada pour l'avenir », ayant pour objet l'obtention de commentaires sur, entre autres choses, le bien-fondé d'un système bancaire ouvert. Ce document décrit les avantages d'un système bancaire ouvert, lequel faciliterait l'interaction entre les clients et les fournisseurs de services financiers et augmenterait la concurrence. Également, le document de consultation souligne l'importance de la protection de la sécurité et des renseignements personnels du client.

En réponse au document de consultation, l'ABC a souligné que la protection des renseignements personnels du client serait un élément crucial de tout système permettant à des tiers d'accéder à des données financières. L'ABC a affirmé que la vérification des instructions du client lorsque les tiers demandent à accéder à de l'information, et la garantie de la légitimité et de la capacité du tiers quant au traitement de l'information seraient examinées avant d'en accorder l'accès. L'ABC rajoute qu'il serait primordial que les clients comprennent la portée du partage des données et des risques qui y sont associés afin d'obtenir un consentement éclairé3.

En décembre 2017, le Bureau de la concurrence a publié une étude de marché sur le secteur de l'innovation technologique et des services financiers. L'une des recommandations issues de cette étude est à l'effet que : « Les décideurs politiques devraient adopter un "accès ouvert" élargi aux systèmes et aux données à l'aide d'interfaces de programmation des applications. En disposant d'un meilleur accès aux données sur les consommateurs (en vertu d'un consentement éclairé et d'un cadre de gestion des risques approprié), les technologies financières pourraient aider les consommateurs à surmonter leur incapacité ou leur réticence à comparer les offres des fournisseurs en favorisant le développement d'outils adaptés de comparaison des prix et d'autres applications qui faciliteraient le changement de fournisseur. »

Le Bureau de la concurrence a également recommandé que les participants et les organismes de réglementation du secteur évaluent le potentiel de l'identification numérique pour faciliter les processus d'identification des clients, ce qui est également reflété dans les modifications proposées à la législation fédérale visant les institutions financières.

Audiences du Comité sénatorial

En réponse aux modifications proposées dans le Projet de loi sur le budget, le Comité sénatorial des banques et du commerce a récemment tenu des audiences auxquelles un large éventail de témoins et d'intervenants ont participé, afin de discuter des modifications proposées, des préoccupations en matière de cybersécurité et d'autres enjeux.

Protection des renseignements personnels et cybersécurité

Le Comité a demandé des garanties que les changements ne permettraient pas aux banques de transférer des dossiers bancaires sensibles à des tiers, d'une manière qui ne serait pas clairement comprise et acceptée par leurs clients. Les représentants des banques ont répondu que le consentement du client est exigé et que les contrats de partage de renseignements avec des tiers sont assortis de rigoureux mécanismes de sécurité et de protection des renseignements personnels permettant aux banques de vérifier comment les entreprises externes utilisent les données des clients.

Le Comité a également exprimé ses préoccupations à l'égard de la cybersécurité et de la possibilité de fuites de données chez des entités, tant nationales qu'internationales, auxquelles les banques communiquent l'information. Dans l'élaboration des modifications, le gouvernement a établi un objectif de créer une nouvelle stratégie en matière de cybersécurité et de faire du Canada un chef de file mondial à cet égard. Les représentants des banques ont porté à l'attention du Comité la proposition de créer un carrefour centralisé pour le partage des pratiques exemplaires et de renseignements sur la cybersécurité qui seraient applicables à tous les secteurs financiers d'importance. Les représentants des banques ont fait valoir que cela contribuerait à renforcer l'expertise en matière de cybersécurité du gouvernement fédéral, renforçant ainsi la protection des consommateurs. Ils ont également soutenu que cette consolidation entraînerait l'adoption d'une méthode unifiée pour traiter avec les entités étrangères et les menaces y associées. Les représentants ont précisé que le partage d'information qui en découlerait pour assurer une protection contre les risques à la cybersécurité ne supposait pas le stockage central des données sensibles.

Le commissaire à la protection de la vie privée du Canada (qui n'aurait, semble-t-il, pas été consulté au sujet des modifications proposées) a indiqué au Comité que, selon les renseignements accessibles, les dispositions proposées ne permettraient pas d'atteindre un équilibre convenable entre la promotion de l'innovation commerciale et la protection des renseignements personnels des consommateurs. Le commissaire a fait valoir qu'il est généralement requis des technologies financières qu'elles obtiennent un consentement exprès, significatif et valide de leurs clients avant de traiter les renseignements financiers les concernant. Cependant, le commissaire a exprimé son inquiétude par rapport aux problèmes que pose le modèle actuel d'obtention de consentement, lesquels empêcheraient une protection adéquate des consommateurs. De plus, il indique qu'il a des raisons de croire que les institutions financières et les organisations de technologies financières n'ont pas l'intention d'obtenir le consentement exprès de leurs clients, contrairement aux modifications proposées. de procéder en vertu des modifications proposées sans obtenir le consentement exprès des clients.

Le commissaire a affirmé que si le secteur financier obtenait réellement un consentement exprès et éclairé et que les questions de protection des renseignements personnels étaient abordées dans le règlement qui sera mis en Suvre en vertu du Projet de loi sur le budget, des mesures raisonnables de protection des renseignements personnels pourraient être instaurées. Il rajoute qu'il n'est cependant pas habilité sur le plan juridique à obliger la conformité à la loi relative à la protection de la vie privée (la Loi sur la protection des renseignements personnels et les documents électroniques, « LPRPDE »). Il a suggéré que conférer ce pouvoir à son bureau forcerait le secteur financier à obtenir un consentement exprès et qu'il s'agirait de la méthode la plus directe de rééquilibrer la législation (il doit être noté, qu'actuellement, le commissaire a le pouvoir de mener des enquêtes et d'exiger l'application de la loi par l'entremise de la Cour fédérale).

La protection des renseignements personnels et la cybersécurité sont clairement des enjeux clés sur lesquels le Comité doit se pencher. Cependant, les observations du commissaire devant le Comité doivent également être interprétées dans un contexte plus général. Premièrement, le commissaire a formulé des préoccupations quant à l'efficacité des méthodes actuelles d'obtention du consentement qui ne touchent pas uniquement le secteur financier ni les technologies financières. En effet, dès 2016, le commissaire a entrepris un examen général de la notion de consentement à l'échelle de tous les secteurs et de toutes les activités régies par la LPRPDE : voir Consultation sur le consentement en vertu de la Loi sur la protection des renseignements personnels et les documents électroniques. Cette consultation a récemment amené le commissaire à publier un nouveau document d'orientation, intitulé « Lignes directrices pour l'obtention d'un consentement valable », qui sera applicable à compter du 1er janvier 2019. Le commissaire a simultanément publié un deuxième document d'orientation intitulé : « Document d'orientation sur les pratiques inacceptables du traitement des données : Interprétation et application du paragraphe 5(3) », lequel prendra effet le 1er juillet 2018. Ces documents d'orientation, qui ont été publiés deux jours après que le commissaire se soit présenté devant le Comité, sont détaillés dans le bulletin suivant : Le Commissariat à la protection de la vie privée a publié ses principales lignes directrices pour l'obtention du consentement et les pratiques inacceptables du traitement des données.

Deuxièmement, la demande du commissaire d'obtenir le pouvoir d'obliger le secteur financier à obtenir le consentement exprès est l'exemple le plus récent des efforts plus généraux du commissaire visant à obtenir le pouvoir de publier des ordonnances exécutoires pour mettre en application les dispositions de la LPRPDE. Cette question n'est pas exclusive aux technologies financières ni au secteur financier. Plus tôt en 2018, le Comité permanent de l'accès à l'information, de la protection des renseignements personnels et de l'éthique a publié un ensemble de recommandations concernant les modifications à la LPRPDE : Vers la protection de la vie privée dès la conception : examen de la Loi sur la protection des renseignements personnels et les documents électroniques, incluant celle que la LPRPDE soit modifiée afin de conférer au commissaire des pouvoirs d'application de la loi, y compris celui de délivrer des ordonnances et d'imposer des amendes en cas de non-conformité.

À la suite de cette présentation au Comité, le commissaire a envoyé une lettre de suivi au Comité pour demander que la LPRPDE soit modifiée afin d'y inclure une exigence supplémentaire concernant l'obtention d'un consentement valable et que le commissaire se voit conférer le pouvoir de délivrer des ordonnances. Ces changements ne se limitent toutefois pas au secteur financier. Conformément aux initiatives plus générales décrites précédemment, les modifications à la LPRPDE demandées s'appliqueraient à l'ensemble des organisations visées par cette loi et constitueraient donc un changement en profondeur de la LPRPDE et du modèle de plainte qui est en place en vertu de celle-ci depuis presque deux décennies.

Activités d'assurance

Des préoccupations ont également été soulevées lors des audiences concernant la question de savoir si les modifications proposées permettraient aux banques d'étendre leurs activités dans le domaine de l'assurance. L'Association canadienne des compagnies d'assurances mutuelles (ACCAM) a indiqué au comité que les modifications à la Loi sur les banques « ouvrent un nouveau secteur d'activités pour les banques », soit la vente de données sur les consommateurs. L'inquiétude soulevée est liée au fait que cela permettrait aux banques de mener des activités dans le domaine de l'assurance, secteur qui est restreint en vertu de la Loi sur les banques et du Règlement sur le commerce de l'assurance (banques et sociétés de portefeuille bancaires). Il a été soutenu que les modifications faciliteraient le transfert de données bancaires à des entreprises de technologies financières qui, à leur tour, pourraient utiliser ces données pour offrir des produits d'assurance.

Les membres du comité ont exprimé leur inquiétude quant à la possibilité que les banques puissent promouvoir la vente de produits d'assurance en établissant une relation avec une entreprise de technologies financières, grâce au paiement de commissions d'aiguillage ou à la réduction des coûts d'impartition. Les représentants des banques ont répondu que ce ne serait pas le cas, puisque les pouvoirs de réseautage sont assujettis à l'article 416 de la Loi sur les banques, lequel interdit aux banques d'exercer des activités d'assurance, sauf dans les cas autorisés en vertu de la Loi sur les banques. L'ABC a également rassuré le comité en précisant que les banques n'avaient pas une telle intention.

Le débat sur le caractère opportun de l'accès des entreprises de technologies financières aux données bancaires et sur le fait que ces données pourraient être utilisées à des fins d'assurance est lié au débat sur le bien-fondé d'un système bancaire ouvert. Certains membres du comité se sont dits d'avis qu'il ne devrait y avoir aucune plainte au sujet des partenariats entre les entreprises de technologies financières et les banques et de leur intégration au marché de l'assurance, puisque cela favoriserait la concurrence.

Ce que nous réserve l'avenir

Il reste à voir si des changements seront apportés aux modifications proposées à la législation régissant les institutions financières fédérales ou à la LPRPDE. Quoi qu'il en soit, les enjeux relatifs aux technologies financières, au système bancaire ouvert et à la protection des données des clients demeureront sans doute à l'avant-plan des politiques du secteur financier au cours des prochaines années.

Nous remercions tout spécialement Sarah Chouinard, étudiante en droit, de ses contributions au présent article.

Footnotes

1 Actuellement, les institutions financières fédérales peuvent effectuer la collecte, le traitement et la transmission de renseignements de nature principalement économique (au Canada) ou concevoir, conserver, gérer ou autrement traiter les dispositifs ou des plateformes de transmission de données qui fournissent des renseignements principalement financiers ou économiques, mais seulement sous réserve de l'approbation du ministre des Finances.

2 Examen du Cadre régissant le secteur financier sous réglementation fédérale; Présentation au ministère des Finances du Canada (29 septembre 2017), en ligne : Association des banquiers canadiens, à la page 6 (en anglais seulement).

3Idem, à la p. 12.

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.