Examen des mérites d’un système bancaire ouvert

Mémoire à l'intention du Ministère des Finances Canada

---

Le 11 février 2019

Comité consultatif sur l’examen d’un système bancaire ouvert/Division des institutions financières
Direction de la politique du secteur financier
Ministère des Finances Canada
90, rue Elgin
Ottawa (Ontario) K1A 0G5

Chères et chers membres du Comité,

Je vous remercie de me donner l’occasion de formuler des commentaires sur le document de consultation du ministère des Finances Canada intitulé : Examen des mérites d’un système bancaire ouvert^{Note de bas de page 1}.

Introduction

1. À titre d’information, le Commissariat à la protection de la vie privée du Canada (le Commissariat) a pour mandat de veiller au respect de la Loi sur la protection des renseignements personnels, laquelle porte sur les pratiques de traitement des renseignements personnels utilisées par les ministères et organismes fédéraux, et de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), la loi fédérale sur la protection des renseignements personnels dans le secteur privé au Canada, ainsi que de certains aspects de la Loi canadienne anti-pourriel (LCAP). Le Commissariat a pour mission de protéger et de promouvoir le droit des personnes à la vie privée. Nos commentaires ne porteront donc que sur les questions liées à notre mandat^{Note de bas de page 2}.
2. La LPRPDE est une loi neutre sur le plan technologique; son application couvre la collecte, l’utilisation et la communication de renseignements personnels dans le cadre d’activités commerciales, quelle que soit la technologie utilisée. Elle n’impose pas d’exigences particulières dans certains secteurs, mais s’applique plutôt aux organisations de tous les secteurs de l’industrie, dont les institutions financières.
3. Le Commissariat appuie l’innovation et les modèles d’affaires novateurs. Dans ce contexte, nous avons fait de « l’Économie des renseignements personnels » l’une des priorités stratégiques du Commissariat, dans le but d’améliorer la protection de la vie privée et la confiance des personnes afin qu’elles puissent participer en toute confiance à l’économie numérique. La notion de maintien et d’amélioration du contrôle individuel sur leurs renseignements personnels est essentielle à cet égard.
4. Comme l’a fait remarquer le commissaire Therrien au sujet des consultations nationales du gouvernement du Canada sur le numérique et les données : « La révolution numérique nous amène à examiner certaines des questions les plus fondamentales de notre époque. Il n’est pas exagéré d’affirmer que la numérisation de tant d’aspects de nos vies est en train de redéfinir l’humanité. La puissance des technologies numériques et des mégadonnées et leur capacité anticipée à stimuler la productivité, la croissance et la compétitivité et à améliorer nos vies de différentes façons font l’objet de grandes ambitions. Mais en même temps, nous avons atteint un moment critique où les droits à la vie privée et les valeurs démocratiques sont en jeu. ^{Note de bas de page 3} »
5. Les changements dans l’écosystème financier, y compris ceux liés au système bancaire ouvert, devraient inciter à revoir les lois sur la protection des renseignements personnels afin de s’assurer que la protection de la vie privée et les autres droits fondamentaux ne sont pas compromis par le processus.

Risques pour la vie privée

La confiance et l’évolution de la protection de la vie privée

6. Le Commissariat reconnaît l’importance de l’innovation pour favoriser la croissance économique. Le respect des obligations liées au droit à l’information et à la vie privée sert de catalyseur pour bâtir la confiance et accroître la participation des consommateurs à l’économie numérique.
7. L’importance de la confiance et de la protection de la vie privée en tant que catalyseurs pour participer pleinement à l’économie numérique est également soulignée dans des forums internationaux comme l’Organisation de coopération et de développement économiques (OCDE)^{Note de bas de page 4}.
8. La confiance nécessaire pour permettre à l’économie numérique de prospérer et l’acceptation sociale dont les organisations auront besoin de la part des Canadiens pour innover avec leurs données personnelles dépendent de la mise en place d’un cadre juridique approprié qui met à l’avant-plan des questions clés en matière de protection de la vie privée, comme celles liées au consentement, à la transparence et à la responsabilisation.
9. Comme l’indique le document de consultation sur le système bancaire ouvert, certains pays qui ont modifié leur législation en matière de finances afin de faciliter le système bancaire ouvert ont également apporté des modifications à leur législation en matière de protection de la vie privée, notamment le Règlement général sur la protection des données (RGPD) de l’Union européenne, qui est cité en exemple.
10. La protection de la vie privée est devenue une question centrale pour les Canadiens, comme nous l’avons vu dans le cas de Cambridge Analytica et de l’expérience de Statistique Canada avec les renseignements bancaires. Cette sensibilité accrue met en lumière la nécessité de veiller à ce que nos lois sur la protection des renseignements personnels fassent l’objet d’un examen approfondi afin de tenir compte des réalités de l’économie numérique.
11. De plus, le Commissariat a soulevé des préoccupations au sujet des répercussions sur la vie privée des relations d’affaires et de la coopération entre les institutions financières sous réglementation fédérale et les organisations du secteur des technologies financières dans le projet de loi C-74, Loi n^o 1 d’exécution du budget de 2018^{Note de bas de page 5}.
12. En ce qui concerne plus particulièrement le projet de loi C-74, le commissaire Therrien s’est dit préoccupé par le fait que les organisations n’obtiennent pas de consentement explicite et par la nécessité d’assurer la protection des renseignements financiers sensibles au moyen de mesures de protection appropriées. Il a également fait remarquer que même si les avancées liées aux nouvelles technologies et à l’innovation sont souhaitables et pourraient offrir de nombreux avantages aux Canadiens, ces objectifs doivent être compensés par des mesures de protection de la vie privée étoffées.
13. Dans le même ordre d’idées, en ce qui concerne le système bancaire ouvert, nous restons préoccupés par le fait que, pour que les innovations dans le secteur financier soient mises en œuvre de manière responsable, des mesures législatives parallèles doivent être adoptées dans la législation sur la protection des renseignements personnels afin de garantir une protection adéquate des personnes à cet égard.
14. L’application réglementaire de certaines pratiques telles que l’utilisation de l’analyse des mégadonnées et de l’intelligence artificielle dans le domaine de la technologie financière est un domaine qui exige une attention accrue. Le rôle exact et l’étendue des algorithmes automatisés dans le système bancaire ouvert soulèveront des préoccupations en matière de protection de la vie privée, notamment en ce qui a trait à la transparence et à la responsabilisation, et peuvent poser des difficultés aux personnes qui veulent avoir accès à leurs renseignements et contester la conformité.
15. Pour mieux soutenir la confiance et la participation des consommateurs à l’économie numérique, nous croyons qu’il est nécessaire de renforcer la protection des données et la réglementation. Plus précisément, nous demandons que des modifications soient apportées à la LPRPDE afin de conférer au Commissariat des pouvoirs d’exécution plus importants, y compris le pouvoir de rendre des ordonnances et d’imposer des amendes en cas de non-conformité à la loi. Ces pouvoirs devraient comprendre le droit de vérifier proactivement la conformité, sans motif, afin de s’assurer que les organisations sont réellement responsables devant les Canadiens de la protection de leurs renseignements personnels.
16. Une réglementation accrue de cette nature favoriserait la stabilité et assurerait des recours dans ce domaine en développement, ce que, selon le document de consultation, d’autres administrations ont fait afin de répondre aux attentes en matière de protection de la vie privée dans le cadre des services bancaires ouverts.

Surveillance de la protection de la vie privée

17. En plus de ces améliorations, le Commissariat recommande que tout cadre stratégique ou législatif élaboré à l’appui du système bancaire ouvert fasse explicitement référence au cadre législatif existant en matière de protection de la vie privée au Canada et que la surveillance dans ce domaine soit exercée par le Commissariat. Bien qu’il soit possible qu’un certain nombre d’organismes de réglementation différents soient concernés par certains aspects du système bancaire ouvert, il existe déjà un cadre établi en matière de protection de la vie privée.
18. La clarté des rôles et des responsabilités dans les cas où plusieurs organismes de réglementation peuvent intervenir aidera à fournir une assurance aux Canadiens et à réduire les frictions potentielles.
19. Bien que ce secteur soit encore en développement, les activités des entreprises de technologie financière concernant la collecte, l’utilisation et la communication de renseignements personnels sont régies par les lois existantes sur la protection de la vie privée. Le Commissariat est parvenu à cette constatation dans ses conclusions d’enquêtes antérieures et encourage le ministère des Finances Canada à faire écho à ce point^{Note de bas de page 6}.

Consentement

20. Comme l’a dit le commissaire Therrien devant le Comité permanent des banques et du commerce au sujet du projet de loi C-74, « La Cour suprême du Canada a statué que l’information financière était généralement de nature extrêmement sensible. Par conséquent, on s’attend généralement à ce que les institutions financières et les entreprises de technologie financière obtiennent le consentement explicite de leurs clients.^{Note de bas de page 7} »
21. Bien que nous comprenions que la nouvelle directive européenne sur les paiements traite du système bancaire ouvert, elle fait également référence à la nécessité de se conformer aux lois sur la protection des renseignements personnels et souligne en particulier l’importance d’obtenir le consentement des individus avant qu’ils ne s’engagent dans des initiatives de services bancaires ouverts.
22. Il est essentiel que les organisations et les modèles d’affaires existants et nouveaux envisagés dans le contexte du système bancaire ouvert élaborent des politiques et des procédures pour s’assurer qu’il existe un processus pour obtenir un consentement valable.
23. Nous recommandons que ces processus soient intégrés à la phase de conception des nouveaux produits et des nouvelles offres, ainsi qu’à un programme de gestion de la protection de la vie privée qui obligerait les organisations à faire preuve de responsabilité.
24. Le document de consultation souligne que les modalités peuvent souvent être longues et déroutantes. Le Commissariat a élaboré des lignes directrices sur le consentement pour régler cette question.
25. À compter du 1^er janvier 2019, les entreprises, y compris celles du secteur financier, devront suivre les lignes directrices sur le consentement valable élaborées par le Commissariat^{Note de bas de page 8}. Nous évaluerons les organisations en fonction de ces lignes directrices et nous nous attendons à ce qu’elles les respectent.
26. Nous encourageons le Comité et le ministère des Finances Canada à communiquer largement ces lignes directrices à leurs intervenants internes et externes.

Cybersécurité

27. La sensibilité des renseignements financiers et le nombre croissant d’acteurs susceptibles de recueillir, d’utiliser et/ou de communiquer ces renseignements sensibles dans le cadre d’un système bancaire ouvert signifient que les mesures de protection sont de plus en plus importantes.
28. Le Commissariat reconnaît les risques liés aux cyberintrusions et aux risques potentiels pour la protection de la vie privée associés à la participation à un système bancaire ouvert. Dans un environnement où des cyberattaques surviennent chaque jour, on n’insistera jamais trop sur l’importance d’adopter un cadre de sécurité global et exhaustif pour assurer une protection contre les accès non autorisés aux renseignements personnels .
29. Les banques, les entreprises de technologies financières et la plupart des acteurs des écosystèmes financiers et des paiements ont des responsabilités en vertu de la LPRPDE.
30. En plus des exigences actuelles liées à la protection des renseignements personnels, les dispositions obligatoires de la LPRPDE sur les atteintes à la vie privée, bien qu’elles ne soient pas parfaites, aideront les organisations à améliorer la sécurité, car leurs obligations légales en matière de tenue de documents et de déclaration seront un outil important pour cerner et régler les problèmes systémiques. Le Commissariat a élaboré des lignes directrices pour aider les organisations à comprendre ces obligations^{Note de bas de page 9}.
31. Le renforcement de la confiance des consommateurs dans l’économie numérique passe par l’adoption d’une stratégie solide en matière de cybersécurité. La confiance des consommateurs peut être ébranlée si une telle stratégie ne s’accompagne pas de mesures de protection de la vie privée significatives.
32. Le besoin de s’assurer que les renseignements personnels sont protégés et traités de façon appropriée par le secteur financier devient de plus en plus crucial, car ce secteur continue d’inclure de nouveaux intervenants, d’améliorer les modèles d’affaires et d’innover dans l’économie numérique.
33. Le Commissariat continuera de préconiser le renforcement des dispositions de la LPRPDE relatives aux atteintes à la vie privée; toutefois, nous exhortons le Comité et le ministère des Finances Canada à rappeler à leurs intervenants ces exigences de conformité obligatoires.

Partage complexe de l’information

34. L’économie numérique d’aujourd’hui fait appel à des modèles complexes de partage de l’information, beaucoup plus que ce que nous avons vu même aux premiers jours du commerce électronique.
35. Compte tenu de la sensibilité des données financières, l’échange d’information devrait être strictement limité et les consommateurs devraient être pleinement informés de tout partage avant de participer à un système bancaire ouvert.
36. Les modèles d’affaires de l’économie numérique ont donné lieu à des pratiques complexes et de toute évidence invisibles de partage des données. En l’absence de transparence et de solides mesures de protection de la vie privée, il y a risque de créer de la confusion chez les consommateurs et d’éroder la confiance du public dans le système financier.
37. Bien que le document de consultation souligne les mérites du système bancaire ouvert, les détails fondamentaux relatifs à sa mise en œuvre ne sont pas encore clairs. Au fur et à mesure de l’élaboration de ces détails, le Commissariat serait heureux d’avoir l’occasion de discuter des plans proposés avec le ministère des Finances Canada en ce qui a trait aux risques potentiels pour la vie privée.
38. D’un point de vue axé sur le consommateur, les gens voudront sans aucun doute avoir le contrôle de leurs renseignements personnels, avoir la possibilité de donner un consentement valable et savoir à qui leurs renseignements sont communiqués, ainsi que l’usage qui en est fait par toutes les parties.
39. Compte tenu de la multiplicité des parties concernées et du fait que le fonctionnement des services bancaires ouverts repose sur le partage de l’information, il est impératif que la responsabilisation soit un élément central de ces nouveaux modèles d’affaires numériques.
40. Du point de vue de la surveillance, une responsabilisation claire permettra non seulement de tenir les parties responsables de leurs actes, mais aussi d’atténuer les plaintes des consommateurs.
41. Par conséquent, le Commissariat recommande que les questions de responsabilisation soient traitées en priorité dans tout cadre stratégique et législatif futur lié aux services bancaires ouverts.

Autre

42. Comme nous l’avons mentionné, pour un certain nombre de questions, on ne sait pas clairement comment l’initiative des services bancaires ouverts pourrait être mise en œuvre au Canada. En l’absence de tels détails, on ne peut prévoir toute l’étendue des problèmes potentiels en matière de protection de la vie privée.
43. Par exemple, le document de consultation n’indique pas clairement comment :
    • des protocoles de communication seront élaborés et approuvés pour le système bancaire ouvert au Canada;
    • les acteurs du système bancaire ouvert seront approuvés ou examinés en tant que participants d’un tel système;
    • des protocoles d’identification et d’authentification seront mis en œuvre.
44. Nous comprenons que les services bancaires ouverts visent à accroître la concurrence et le choix des consommateurs. Toutefois, il y a le risque que de nombreux « nouveaux » joueurs et modèles d’affaires fassent en fait partie de grandes entreprises existantes, ce qui pourrait créer un environnement où il y a apparence de concurrence, mais où les grandes entreprises dominent plutôt le marché, y compris les pratiques de protection de la vie privée. Les répercussions plus larges de l’accumulation potentielle de données financières et non financières et de l’utilisation de ces données à des fins multiples devraient être examinées plus en détail.
45. Cette notion a été récemment exprimée dans un Livre blanc du Forum économique mondial (FEM) de 2019 sur les dimensions économiques de la quatrième révolution qui note que… [TRADUCTION] « Par exemple, l’un des effets de la concentration du marché est qu’avec le temps, les incitations à investir et à fournir des services de haute qualité, y compris la protection de la vie privée et la diversité, diminuent.^{Note de bas de page 10} »

Mot de la fin

46. Le document de consultation sollicite des commentaires sur la question de savoir si les services bancaires ouverts procureraient des avantages significatifs aux Canadiens et amélioreraient leurs résultats. Le Commissariat note que, si des considérations importantes en matière de protection de la vie privée ne font pas partie de la conception des services bancaires ouverts, il y a un risque que tout avantage potentiel soit considérablement réduit pour le consommateur.
47. La meilleure façon pour le Canada de se positionner comme chef de file de l’innovation numérique est de démontrer comment nous pouvons établir un cadre pour l’innovation qui protège également avec succès les valeurs et les droits des Canadiens, y compris la protection de la vie privée, les droits de la personne et les droits démocratiques.
48. Comme l’a déclaré le commissaire Therrien au sujet des consultations nationales du gouvernement du Canada sur le numérique et les données : « Je crois fermement que la confiance nécessaire pour permettre à l’économie numérique de prospérer et l’autorisation sociale dont le gouvernement aura besoin de la part des Canadiens pour pouvoir innover grâce à leurs données personnelles, dépendent de la mise en place d’un cadre juridique approprié. Malheureusement, dès qu’il s’agit d’apporter de véritables modifications à la législation dans ce contexte, le gouvernement est lent à agir, mettant en péril la foi que les Canadiens ont envers l’économie numérique et la confiance que leurs valeurs canadiennes seront préservées.^{Note de bas de page 11} »
49. Les changements apportés à la politique et à la législation financières exigent une mise à jour de la législation canadienne sur la protection des renseignements personnels. D’une part, afin de s’assurer que les consommateurs et leurs données ne sont pas seulement considérés comme une marchandise et qu’une importance égale est accordée au traitement de leurs données comme partie indissociable de leur identité. D’autre part, afin de s’assurer que la protection de la vie privée est effectivement au cœur de l’innovation.
50. J’attends avec intérêt de connaître les résultats de vos consultations. Veuillez noter que le Commissariat serait ravi de discuter davantage de ces questions importantes. N’hésitez pas à communiquer avec arun.bauri@priv.gc.ca.

Je vous prie d’agréer, Mesdames, Messieurs, mes sincères salutations.