Sélection de la langue

Recherche

Comparution devant le Comité sénatorial permanent des banques et du commerce concernant la section 16 de la partie 6 du projet de loi C-74, Loi no 1 d’exécution du budget de 2018

Le 22 mai 2018
Ottawa (Ontario)

Déclaration de Daniel Therrien,
Commissaire à la protection de la vie privée du Canada

(Le texte prononcé fait foi)


Introduction

Bon après-midi, honorables sénateurs.

Je vous remercie de me donner l’occasion de m’exprimer au sujet de la section 16 du projet de loi C-74, Loi d’exécution du budget.

Le secteur des technologies financières et la protection de la vie privée

Les amendements proposés à la section 16 du projet de loi C-74 éliminent les obstacles dans la loi afin de faciliter les relations d’affaires et la coopération entre les institutions financières fédérales et les organisations du secteur des technologies financières. À l’heure actuelle, tel que je le comprends, les institutions financières ne peuvent traiter qu’avec les organisations qui prennent part à des activités principalement financières.

Toute entreprise qui commercialise de nouvelles technologies financières peut être considérée comme une entreprise de technologie financière. C’est une vaste catégorie qui pourrait comprendre des services de traitement des paiements, des prêteurs en ligne et peut-être même de grandes entreprises de technologie comme Amazon et Google.

Les entreprises de technologie financière ne sont peut-être pas réglementées dans le secteur financier, mais la loi fédérale sur la protection des renseignements personnels dans le secteur privé — Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) s’applique à toutes les organisations qui recueillent, utilisent et divulguent des renseignements personnels dans le cadre de leurs activités commerciales. Cela comprend les entreprises de technologie financière et les institutions financières.

Nous croyons comprendre que ces amendements visent à offrir de nouvelles possibilités au secteur financier et à ses clients afin de tirer avantage des nouvelles technologies. Toutefois, ils élargissent aussi le type d’organisations qui peuvent recevoir des renseignements personnels de la part d’institutions financières.

Bien que les avancées liées aux nouvelles technologies et à l’innovation soient  souhaitables et puissent offrir de nombreux avantages aux Canadiens, ces objectifs doivent être compensés par des mesures de protection de la vie privée étoffées. L’innovation et la protection de la vie privée devraient être recherchées simultanément. L’atteinte de cet objectif par le projet de loi C-74 dépendra en grande partie de la façon dont la LPRPDE est appliquée par les organisations, et peut-être en partie du contenu, bien qu’il ne soit pas connu, des règlements que le gouvernement a annoncés.

Le gouvernement ne m’a pas consulté quant aux détails de ces amendements; il m’est donc difficile de dire si un juste équilibre a été trouvé. D’après l’information dont je dispose, je dirais que les efforts du gouvernement ont porté vers la recherche de l'innovation et qu'il ne semble pas s'être soucié de la protection de la vie privée.

Consentement

Les Canadiens sont préoccupés par la façon dont leurs renseignements personnels sont traités. Le consentement est un élément central de l’autonomie personnelle et est au cœur même de la LPRPDE. La loi oblige les institutions financières et les entreprises de technologie financière à obtenir un consentement valable auprès de leurs clients afin de recueillir, d’utiliser ou de divulguer des renseignements personnels.

Aux termes de cette loi, le consentement n’est valable que si un individu comprend la nature, les fins et les conséquences de ce à quoi il consent.

La LPRPDE permet différentes formes de consentement, à savoir le consentement explicite et le consentement implicite. Lorsque des renseignements personnels sont considérés comme étant sensibles, un consentement explicite est nécessaire. La Cour suprême du Canada a statué que l’information financière était généralement de nature extrêmement sensible. Par conséquent, on s’attend généralement à ce que les institutions financières et les entreprises de technologie financière obtiennent le consentement explicite de leurs clients.

On a beaucoup parlé des défis liés au modèle de consentement comme méthode de protection de la vie privée. Il est reconnu que les politiques de confidentialité des organisations et les contrats qu’elles font signer aux clients sont longs, complexes et très difficiles à comprendre. Au cours des dernières années, le Commissariat a examiné les améliorations qui pourraient être apportées au modèle de consentement actuel. À la suite de ce travail, nous sommes en train de terminer nos Lignes directrices en matière de consentement, qui seront publiées très prochainement et entreront en vigueur en janvier 2019. Ces lignes directrices définiront une orientation pratique  en ce qui a trait aux mesures que devraient prendre les organisations pour s’assurer d’obtenir un consentement valable. Par exemple, les organisations doivent mettre davantage l’accent sur les éléments clés suivants :

  1. Indiquer les renseignements personnels des individus qui sont recueillis ou qui sont susceptibles de l’être.
  2. Expliquer clairement toute communication de renseignements personnels à des tiers, en précisant entre autres le type de renseignements communiqués et en énumérant ces tiers le plus précisément possible. Pour les institutions financières, les tiers comprendraient les entreprises de technologie financière.
  3. Informer les personnes de toutes les fins auxquelles les renseignements seront recueillis, utilisés ou communiqués, en énonçant ces fins dans un langage clair et, en particulier, en soulignant toute fin qui ne serait pas évidente pour la personne (telle que l’analyse des mégadonnées, le profilage, ou toute autre activité qui n’est pas liée au service financier demandé par le client) ou à laquelle elle pourrait raisonnablement ne pas s’attendre dans le contexte.
  4. Informer les personnes des risques importants de préjudices graves et des autres conséquences.

Si le secteur financier obtient un consentement explicite et éclairé tel que le recommandent nos lignes directrices, on parviendra à un degré raisonnable de protection de la vie privée. Par contre, j'ai des raisons de croire que  les institutions financières et les entreprises de technologie financière voudront procéder différemment et, en vertu de la loi actuelle,  je n’ai pas le pouvoir d’obliger les organisations à appliquer ce qui me semble constituer des mesures raisonnables. Il faudra plusieurs années aux consommateurs concernés pour faire valoir leurs droits devant les tribunaux.

Je suis donc inquiet que le projet de loi ne protège pas suffisamment la vie privée des consommateurs. Pour rétablir l'équilibre, le moyen le plus direct serait de donner au Commissariat le pouvoir d'ordonner au secteur financier d'obtenir le consentement explicite et véritablement éclairé de leurs clients.

Mesures de sécurité

En outre, la loi en matière de protection des renseignements personnels oblige les organisations à mettre en œuvre un cadre de sécurité global et exhaustif pour assurer une protection contre l’accès non autorisé aux renseignements personnels.

Bien que les institutions financières parviennent raisonnablement bien à protéger les renseignements personnels qu’elles détiennent, les entreprises de technologie financière émergentes doivent être très attentives à leurs obligations aux termes de la LPRPDE en ce qui a trait aux mesures de sécurité et aux nouvelles exigences de déclaration des atteintes à la protection des renseignements personnels qui entreront en vigueur en novembre prochain. Tous ces éléments jouent un rôle essentiel dans la protection des renseignements personnels détenus par le secteur financier.

Remarques finales

Des mesures efficaces de protection de la vie privée sont essentielles à la confiance des consommateurs à l’égard des technologies émergentes. Tout transfert de renseignements personnels qui serait facilité par suite des amendements apportés au projet de loi C­-74 doit être envisagé en tenant compte de toutes les obligations en matière de protection de la vie privée, de la façon dont les organisations s’acquitteront de ces obligations, et de toute disposition dans les règlements à venir qui pourrait avoir des répercussions sur la vie privée.

Pour le moment, je n'ai pas d'assurances qu'un bon équilibre a été atteint entre l'innovation et le respect de la vie privée, ni que les principes de Privacy by Design ont été appliqués dans l'élaboration de ce projet de loi.

Je remercie le président et les membres du Comité, et je serai heureux de répondre à vos questions.

Date de modification :