Sélection de la langue

Logo du Commissariat Commissariat à la protection de la vie privée du Canada

Recherche

Comparution devant le Comité sénatorial permanent des banques et du commerce afin d’examiner, pour en faire rapport, les avantages et les défis éventuels inhérents au système bancaire ouvert pour les consommateurs canadiens de services financiers, en mettant l’accent sur le rôle réglementaire du gouvernement fédéral

Le 21 février 2019
Ottawa (Ontario)

Déclaration de Gregory Smolynec
Sous-commissaire du secteur des politiques et de la promotion

(Le texte prononcé fait foi)

Bonjour, monsieur le Président. Je vous remercie pour l’invitation.

Arun Bauri, analyste principal du Commissariat sur la question des systèmes bancaires ouverts, m’accompagne aujourd’hui.

Introduction

Les promoteurs d’un système bancaire ouvert soulignent que celui-ci comporterait de nombreux avantages pour les consommateurs et les entreprises. Ces avantages comprennent l’accès à de nouveaux produits et services, ainsi qu’une hausse de la concurrence et l’entrée sur le marché des petites entreprises à l’instar de ce que nous constatons dans le secteur des technologies financières.

Comme l’a indiqué le commissaire Therrien devant ce comité en mai dernier dans le contexte de la partie 16 du projet de loi C-74, bien que des innovations et des progrès liés aux nouvelles technologies soient en effet souhaitables et puissent entraîner de nombreux avantages pour les Canadiens, ces objectifs doivent être poursuivis parallèlement à l’établissement de mesures rigoureuses en matière de protection des droits de la personne, et notamment en matière de protection de la vie privée.

Dans sa présentation à Innovation, Sciences et Développement économique Canada sur les consultations nationales sur le numérique et les données, le commissaire Therrien a souligné dans quelle mesure les événements récents ont jeté la lumière sur la manière dont nos renseignements personnels peuvent être manipulés et utilisés de façons non désirées. Ces événements devraient servir de mise en garde et nous inciter à mettre en place des cadres réglementaires solides avant la mise en œuvre de méthodes « perturbatrices » d’exploitation des données.

Recommandations

Cadre réglementaire

Le Commissariat recommande que le système bancaire ouvert du Canada soit édifié sur des assises qui comprennent le respect de la vie privée et d’autres droits fondamentaux.

Il existe des exemples de cadres établis pour les systèmes bancaires ouverts, comme celui de l’Europe, où la deuxième directive sur les services de paiement (PSD2) et le Règlement général sur la protection des données (RGPD) régissent le fonctionnement des systèmes. Le consentement est une composante fondamentale du RGPD et nous recommandons qu’un consentement valable et explicite fasse partie de tout cadre canadien régissant le système bancaire ouvert.

Consentement valable

La Loi sur la protection des renseignements personnels et les documents électroniques permet différentes formes de consentement, à savoir le consentement explicite et le consentement implicite. Lorsque des renseignements personnels sont considérés comme étant sensibles, un consentement explicite est nécessaire. La Cour suprême du Canada a statué que l’information financière est généralement de nature extrêmement sensible. Par conséquent, on s’attend généralement à ce que les institutions financières et les entreprises de technologie financière obtiennent le consentement explicite de leurs clients.

Le Commissariat a publié des lignes directrices relatives au consentement qui sont entrées en vigueur en janvier dernier. Ces lignes directrices se rapportent aux principaux éléments sur lesquels devraient insister les organisations pour que les personnes comprennent bien ce à quoi elles consentent. Ces éléments comprennent :

  • la nature des renseignements personnels qui font l’objet de la collecte;
  • les parties auxquelles les renseignements personnels sont communiqués;
  • les fins pour lesquelles les renseignements personnels sont recueillis, utilisés ou communiqués;
  • le risque de préjudice ou les autres conséquences possibles pour la personne concernée.

Normes

Afin de garantir la mise en place de règles de base uniformes pour le système bancaire ouvert, nous recommandons l’établissement de normes, y compris de normes techniques et de normes relatives à la protection de la vie privée. Nous avons observé un tel modèle en Australie, où un organisme de normalisation des données possédant l’expérience et l’expertise nécessaires a été mis sur pied.

Le Commissariat serait heureux de fournir une expertise en matière de protection de la vie privée afin d’appuyer la conception des normes canadiennes, conformément à l’approche de notre homologue australien.

Accréditation

Nous avons constaté que certaines administrations ont recours à diverses approches en ce qui a trait au système bancaire ouvert. Par exemple, dans la plupart des pays, les nouveaux acteurs doivent obtenir une autorisation préalable pour participer à l’écosystème de système bancaire ouvert. Les entreprises autorisées doivent être enregistrées et disposer d’une assurance professionnelle.

Nous appuyons un tel modèle et recommandons, si le système bancaire ouvert était mis en œuvre au Canada, que les entreprises soient accréditées ou qu’elles reçoivent un permis avant d’être autorisées à participer.

Responsabilité en matière de protection de la vie privée

Afin d’assurer la gestion appropriée des risques associés à la collecte, à l’utilisation et à la communication de renseignements financiers de nature délicate dans le contexte d’un système bancaire ouvert, nous recommandons que les institutions financières et le secteur des technologies financières soient tenus de documenter les risques pour la vie privée associés à leurs activités et de décrire la façon dont ces risques seront atténués. Un dossier vérifiable faisant état de cette évaluation des risques doit être disponible pour qu’un organisme de réglementation, comme le Commissariat à la protection de la vie privée du Canada, puisse le consulter.

L’exigence visant la réalisation d’une évaluation des facteurs relatifs à la vie privée existe déjà pour les institutions fédérales et dans certaines situations établies dans le cadre du RGPD, particulièrement celles qui concernent les nouvelles technologies et qui sont susceptibles d’entraîner un risque élevé pour les droits et libertés.

Application de la loi

Nous croyons que la modernisation des lois sur la protection des renseignements personnels est une condition préalable à la mise en œuvre d’un concept comme le système bancaire ouvert. Pour permettre à l’économie numérique de prospérer, les Canadiens doivent faire confiance aux entreprises et au gouvernement pour que ceux‑ci puissent innover en utilisant leurs données personnelles. Pour instaurer ce climat de confiance, un cadre juridique approprié doit être mis en place.

Dans ce contexte, le Commissariat requiert un renforcement de ses pouvoirs d’application en vertu d’une loi sur protection des renseignements personnels modifiée, y compris le pouvoir de rendre des ordonnances et d’imposer des amendes pour le non-respect de la loi, ainsi que le droit de vérifier la conformité de façon indépendante, sans motifs, afin de garantir que les organisations respectent vraiment leur obligation de protéger les renseignements personnels.

Mot de la fin

Les changements apportés à la politique et à la législation financières exigent une mise à jour simultanée de la législation canadienne sur la protection de la vie privée afin de garantir que les consommateurs et leurs données ne soient pas seulement considérés comme une marchandise ou une matière première de laquelle des données peuvent être extraites.

Même s’il est justifié que les lois sur la protection des renseignements personnels continuent d’être fondées sur des principes et d’être neutres sur le plan technologique, celles-ci devraient également comporter des droits conférant des garanties juridiques aux individus. La protection de la vie privée est une condition indispensable à la protection des valeurs et des droits fondamentaux au Canada, y compris ceux qui se rapportent à la liberté, à l’égalité, à la dignité et aux droits de la personne, et nos lois devraient refléter cette réalité.

Nous devons réformer notre législation sur la protection des renseignements personnels afin de l’adapter à notre objectif, qui est d’assurer la protection de la vie privée des Canadiens à mesure que les technologies et l’économie évoluent.

Je vous remercie et je serai heureux de répondre à vos questions.

Date de modification :