Préparer le secteur financier du Canada à l’avenir

Mémoire à l'intention du Ministère des Finances Canada

Le 29 septembre 2017

Division des institutions financières
Direction de la politique du secteur financier
Ministère des Finances Canada
Édifice James Michael Flaherty
90, rue Elgin
Ottawa (Ontario) K1A 0G5

Objet : Préparer le secteur financier du Canada à l’avenir

Mesdames, Messieurs,

1. Le Commissariat à la protection de la vie privée du Canada (le Commissariat) est heureux d’avoir l’occasion de présenter ses commentaires au ministère des Finances Canada (le ministère des Finances) dans le cadre de ses consultations sur les mesures stratégiques envisagées en vue d’appuyer une économie forte et en croissance^{Note de bas de page 1}.
2. À titre d’information, le Commissariat a pour mandat de veiller au respect de la Loi sur la protection des renseignements personnels, laquelle porte sur les pratiques de traitement des renseignements personnels utilisées par les ministères et organismes fédéraux, et de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), la loi fédérale sur la protection des renseignements personnels dans le secteur privé, de même qu’au respect de certains aspects de la Loi canadienne antipourriel. Le Commissariat a pour mission de protéger et de promouvoir le droit des personnes à la vie privée. Par conséquent, nos commentaires se limiteront aux enjeux qui relèvent de notre mandat.
3. Le Commissariat croit comprendre que vos consultations font suite à un appel d’observations lancé en 2016 concernant le positionnement du cadre fédéral régissant le secteur financier relativement aux trois (3) objectifs stratégiques fixés pour le secteur financier canadien, à savoir : i) la stabilité, ii) l’efficience et iii) l’utilité.
4. Les consultations actuelles révèlent un certain nombre d’enjeux/secteurs et problèmes émergents liés à la protection des consommateurs qui sont importants pour la croissance de l’économie et qui appuient les trois (3) objectifs stratégiques du secteur financier canadien. En outre, les consultations font ressortir que les intervenants ont demandé un cadre assurant un haut niveau de protection des consommateurs.
5. Le Commissariat fait remarquer qu’au sein de l’économie numérique, la protection de la vie privée et la protection des consommateurs présentent des enjeux qui se chevauchent de plus en plus. Or, en raison de la grande sensibilité de l’information en cause, l’établissement d’une solide infrastructure de protection de la sécurité sera déterminant pour la confiance des consommateurs, leurs niveaux d’adoption, leur décision de recourir aux innovations du secteur de la technologie financière et la validité globale du secteur financier. La protection de la vie privée n’est pas qu’un élément secondaire; elle fait partie intégrante de l’adoption et de la durabilité du secteur financier et des innovations technologiques financières.
6. À cette fin, le Commissariat recommande ce qui suit :
   • Le cadre de la politique financière du Canada doit tenir compte du cadre législatif canadien actuel sur la protection des renseignements personnels, lequel reconnaît le rôle que joue la loi fédérale pour assurer la protection des renseignements personnels dans le secteur privé, ainsi que des lois provinciales essentiellement similaires.
   • Le cadre de la politique financière reconnaît explicitement que la LPRPDE vise les organisations qui exercent des activités commerciales, qu’elles soient régies on non par des organismes canadiens de réglementation financière. Sont également visés les modèles opérationnels émergents et nouveaux, y compris ceux du secteur de la technologie financière (FinTech).
   • La conformité en matière de protection des renseignements personnels doit être reconnue explicitement en tant qu’élément fondamental pour favoriser la confiance et la participation dans l’économie numérique, ce qui appuie directement les trois (3) objectifs stratégiques du secteur financier du Canada et contribue à leur réalisation.

Appuyer un secteur concurrentiel et novateur

Confiance dans l’économie numérique

7. Le Commissariat et le ministère des Finances ont un intérêt commun envers un certain nombre d’enjeux, notamment les suivants : i) la façon dont les Canadiens interagissent avec les nouveaux modèles opérationnels, ii) la protection des consommateurs, iii) l’influence de la technologie, et iv) la cybersécurité et la sécurité nationale. Ce sont aussi des aspects importants qui cadrent avec les priorités stratégiques du Commissariat en matière de vie privée^{Note de bas de page 2}.
8. Après avoir déterminé que l’économie des renseignements personnels compte parmi ses priorités stratégiques, le Commissariat vise à renforcer la protection de la vie privée et la confiance des individus pour qu’ils puissent participer avec assurance à l’économie numérique. La notion du contrôle par l’individu sur ses renseignements personnels est tout aussi importante.
9. Bien que l’innovation puisse favoriser un changement positif, elle s’est aussi traduite par une tendance vers la collecte et le traitement de quantités inégalées de renseignements personnels, ce qui pose des défis pour les cadres et normes de protection de la vie privée en vigueur.
10. Les modèles opérationnels émergents qui sont axés sur la technologie et l’échange de renseignements (généralement opaques pour les consommateurs) ont nettement accru l’abondance et la sensibilité des renseignements personnels recueillis et utilisés. Il est particulièrement difficile pour les individus de rester maître sur ce plan dans un monde de mégadonnées caractérisé par un volume sans précédent de renseignements personnels recueillis et de puissants algorithmes capables de dégager des modèles de comportement à toutes sortes de fins, allant de la commercialisation à la sécurité nationale.
11. Le Commissariat recommande au ministère des Finances de reconnaître explicitement que la protection de la vie privée fait partie intégrante de la promotion de la confiance, de l’innovation et de la concurrence. Plus précisément, la protection de la vie privée peut jouer un rôle important pour assurer l’intégrité de l’écosystème financier et pour établir le lien de confiance nécessaire à la participation des gens. Cette façon de procéder permettrait de favoriser et de promouvoir l’innovation.

Points importants à considérer pour les enjeux/secteurs émergents

12. Bien que le secteur de la technologie financière (FinTech) soit reconnu comme l’un des moteurs de l’innovation et de la croissance économique, diverses discussions ont lieu quant à la mesure dans laquelle la surveillance réglementaire du secteur financier qui se fait actuellement s’applique au secteur de la technologie financière et à d’autres modèles opérationnels émergents.
13. Pendant que le ministère des Finances se penche sur les enjeux liés aux cadres législatifs et stratégiques de ces modèles émergents, le Commissariat propose que les mesures que prendra le ministère à l’avenir renvoient explicitement à l’application de la LPRPDE aux organisations qui exercent des activités commerciales, ainsi qu’au rôle que jouent les lois en matière de protection des renseignements personnels dans la surveillance réglementaire du secteur financier.
14. De cette manière, les entreprises émergentes pourraient mesurer toute la portée de leurs obligations en matière de conformité.
15. Par ailleurs, le Commissariat soutient la position du ministère des Finances selon laquelle il convient d’accroître la transparence et la surveillance en matière de réglementation, et il est prêt à entamer des discussions futures quant à la meilleure façon de coordonner et de mettre en commun l’information.
16. En ce qui concerne le système bancaire ouvert, le Commissariat insiste fortement pour que les discussions futures portent sur les obligations de protection des renseignements personnels et sur les mesures d’atténuation des risques dans le cadre de l’analyse globale.
17. Nous reconnaissons que la nouvelle directive européenne sur les paiements^{Note de bas de page 3} (laquelle devrait entrer en vigueur en 2018) instaure le système bancaire ouvert; cependant, elle traite aussi de la nécessité de se conformer aux lois en matière de protection des renseignements personnels et plus précisément, elle souligne l’importance du consentement. Le secteur privé a, en outre, signalé l’importance du respect des obligations prévues dans les lois en matière de protection des renseignements personnels pour la directive sur les paiements et le système bancaire ouvert^{Note de bas de page 4}.
18. Nous croyons savoir que les avantages potentiels du système bancaire ouvert sont notamment : i) un plus grand choix pour les consommateurs, ii) la concurrence du marché et iii) des débouchés pour les petites ou moyennes entreprises (PME).
19. Afin de déterminer de quelle façon une telle initiative pourrait optimiser les avantages et appuyer les objectifs stratégiques du secteur financier canadien, il serait nécessaire de tenir compte des points suivants :
    • s’assurer que les intervenants actuels et émergents comprennent le cadre législatif actuel sur la protection des renseignements personnels au Canada;
    • reconnaître que la tentation d’être le « premier à mettre en marché » des produits
    • novateurs ne devrait pas être au détriment de la protection de la vie privée, de la sécurité et de la confiance des Canadiens. D’autant plus que la protection de la vie
    • privée n’est pas qu’un élément secondaire, elle est plutôt essentielle à l’adoption des innovations et de la durabilité du secteur financier;
    • reconnaître que les renseignements personnels ne se résument pas toujours aux points de données traditionnels (comme le nom et le numéro de compte)^{Note de bas de page 5};
    • évaluer la sensibilité des renseignements et la circulation des renseignements;
    • obtenir un consentement valable;
    • protéger les renseignements et la circulation des renseignements;
    • limiter les fins pour lesquelles les renseignements peuvent être utilisés;
    • mettre en œuvre un cadre de responsabilisation, y compris un programme de gestion de la protection de la vie privée ainsi que des protocoles d’évaluation des risques.

Améliorer la protection des consommateurs

20. Le document de consultation désigne un certain nombre d’organismes de réglementation pour le secteur financier. Le Commissariat propose qu’étant donné l’importance que revêt la protection de la vie privée pour les renseignements financiers des consommateurs, il faudrait également inclure des organismes de réglementation en matière de vie privée.
21. En ce qui concerne la protection des consommateurs et de la vie privée, l’obtention d’un consentement valable, qui est essentiel à la LPRPDE, est l’un des défis que pose la protection de la vie privée. Afin de relever ce défi, le Commissariat a récemment fait connaître sa position de principe quant aux conditions à remplir pour renforcer la validité du consentement. L’importance du consentement dans l’économie numérique et les principes fondamentaux que les organisations doivent prendre en considération afin d’obtenir un consentement valable, sont décrits dans notre dernier Rapport annuel au Parlement^{Note de bas de page 6}.
22. En outre, le Commissariat remarque que l’amélioration de la protection de la vie privée des consommateurs exige des organisations qu’elles portent une attention particulière à leurs opérations internes en ce qui concerne la responsabilisation^{Note de bas de page 7}, la protection des données^{Note de bas de page 8}, la déclaration des atteintes à la vie privée^{Note de bas de page 9} et les pratiques d’authentification^{Note de bas de page 10}, qui ont toutes un important rôle à jouer dans la protection des renseignements personnels détenus par le secteur financier.
23. Il est encore plus important de veiller à ce que les renseignements personnels soient protégés et traités de façon appropriée par le secteur financier, car ce secteur continue d’inclure de nouveaux intervenants, de développer les modèles d’affaires et d’innover dans l’économie numérique.

Cybersécurité

24. Le Commissariat appuie la position selon laquelle la réponse aux menaces à la cybersécurité nécessite de mettre l’accent sur la protection des renseignements personnels.
25. Le document de consultation mentionne également que le ministère des Finances a notamment pour objectif d’élaborer une stratégie avant-gardiste en matière de cybersécurité et qu’il : i) travaille de concert avec Sécurité publique Canada à l’évaluation de modifications législatives et réglementaires et ii) collabore aux travaux internationaux dans le cadre du G7 et du G20.
26. Le Commissariat reconnaît les risques liés aux cyberintrusions et les risques potentiels pour la protection de la vie privée des particuliers. À l’heure où les cyberattaques font partie du quotidien, on ne saurait trop insister sur l’importance d’un cadre de sécurité global et exhaustif pour assurer une protection contre l’accès non autorisé aux renseignements personnels.
27. À cette fin, l’obligation d’aviser un individu en cas d’atteinte à la sécurité des données qui sera imposée sous peu en vertu de la LPRPDE aidera les organisations à renforcer la sécurité étant donné que leurs rapports et dossiers constitueront un outil important pour les aider à cerner les problèmes systémiques et à les régler.
28. Le renforcement de la confiance des consommateurs dans l’économie numérique passe par l’adoption d’une stratégie solide en matière de cybersécurité. La confiance des consommateurs peut être ébranlée si une telle stratégie ne s’accompagne pas de mesures de protection de la vie privée significatives.
29. Le Commissariat tient toutefois à réitérer les commentaires formulés dans le mémoire du commissaire Therrien à la suite des consultations sur la cybersécurité menées par Sécurité publique Canada, notamment^{Note de bas de page 11} :
    • La cybersécurité comporte deux volets. Les organisations doivent demeurer à l’affût des cybermenaces les plus récentes pour protéger leurs systèmes de TI. De leur côté, les responsables de la protection de la vie privée doivent faire de même pour protéger adéquatement les renseignements personnels qui leur ont été confiés par leurs clients et leurs employés.
    • Dans leurs efforts pour contrer la cybercriminalité, les organismes d’application de la loi doivent être conscients des répercussions de leurs activités sur la vie privée des Canadiens.
    • La cybersécurité suppose non seulement l’évaluation des risques associés à la sécurité technique (comme les pare-feu), mais aussi des risques associés aux fonds de renseignements personnels, qui seront cernés et atténués en effectuant une évaluation des facteurs relatifs à la vie privée (EFVP).
    • Le droit à la vie privée et les libertés garantis par la Charte, dont nous bénéficions dans notre vie quotidienne hors ligne, devraient aussi s’exercer en ligne.

Conclusion

30. En conclusion, le Commissariat estime que les mesures prises pour renforcer le cadre financier au Canada doivent aussi prendre en compte l’importance fondamentale du respect du cadre législatif canadien actuel sur la protection des renseignements personnels.
31. Nous sommes heureux d’avoir pu faire connaître notre point de vue et serons ravis de discuter davantage des commentaires formulés dans notre mémoire, ainsi que d’autres enjeux connexes.

Veuillez agréer, Mesdames, Messieurs, l’expression de
nos sentiments distingués