Allocution à la 29e conférence phare annuelle sur la conformité réglementaire pour les institutions financières
Le 22 novembre 2023
Toronto (Ontario)
Allocution prononcée par Philippe Dufresne
Commissaire à la protection de la vie privée du Canada
(Le texte prononcé fait foi)
Bonjour à tous et à toutes.
Je suis heureux d’être ici, à Toronto, aujourd’hui, parmi tant de dirigeants du secteur financier responsables de la protection de la vie privée et de la conformité.
Selon la Banque du Canada, 30 millions de transactions financières d’une valeur de plus de 210 milliards de dollars ont lieu chaque jour au pays. Bon nombre de ces transactions ont lieu ici même, à Toronto, centre financier du Canada.
En effet, la ville de Toronto elle-même se targue d’être le deuxième centre de services financiers en importance en Amérique du Nord, comptant l’une des plus fortes concentrations de sièges sociaux d’entreprises de services financiers dans les Amériques.
Elle est décrite comme une « destination mondiale de services financiers » ayant une « réputation de sécurité, de solidité et de stabilité ».
Et bien que les Canadiennes et les Canadiens soient reconnus pour leur humilité, cette réputation est quelque chose dont nous, en tant que peuple et nation, devrions être très fiers. Nous devrions la faire connaître au monde entier.
Derrière chacune de ces transactions – dont bon nombre sont internationales compte tenu de notre monde où les frontières s’estompent de plus en plus et de la nature des flux de données actuels –, il y a des Canadiennes et des Canadiens qui épargnent pour leur retraite et les études universitaires de leurs enfants, financent de nouvelles maisons ou essaient simplement de gagner assez d’argent pour nourrir leur famille. Rien de cela ne serait possible sans la confiance en nos institutions financières.
Les données financières d’une personne constituent des renseignements personnels très sensibles qui doivent être soigneusement protégés. Le secteur financier le sait et, de façon générale, a mis en œuvre des programmes très rigoureux de gestion de la protection des renseignements personnels.
À titre d’exemple, la semaine dernière, nous avons pu voir des reportages dans les médias sur le géant du traitement des paiements Moneris, et sur la façon dont l’entreprise a déjoué une attaque par rançongiciel. Notre travail dans ce secteur donne à penser que les institutions financières prennent cette responsabilité au sérieux.
Il n’est toutefois pas surprenant que le secteur financier soit une cible attrayante pour les personnes malveillantes. Bon nombre de nos interactions se déroulent dans le contexte de rapports et d’enquêtes sur des atteintes à la vie privée, que j’aborderai plus tard.
Comme votre secteur gère une énorme quantité de renseignements personnels de nature très sensible, il n’est pas étonnant que le secteur financier génère la plus forte proportion de plaintes relatives à la protection des renseignements personnels par secteur auprès du Commissariat à la protection de la vie privée du Canada, ce qui représente 26 % de toutes les plaintes acceptées l’an dernier.
Parmi les 101 plaintes concernant le secteur financier que nous avons fermées l’an dernier, 70 % d’entre elles ont été réglées à la satisfaction des parties prenantes par voie de médiation. Seulement 6 des cas sur lesquels nous avons enquêté étaient fondés. Les organisations concernées étaient généralement coopératives et disposées à mettre en œuvre nos recommandations.
Tout cela pour dire que je reconnais le rôle de chef de file que jouent les institutions financières pour que la vie privée et la protection des renseignements personnels soient prises au sérieux. D’ailleurs, je constate que le « renforcement de la culture de la conformité » a été le sujet de l’une des séances d’hier.
Cela démontre également l’importance pour les organisations d’adopter une culture de protection de la vie privée, en protégeant les renseignements personnels dès la conception et par défaut.
C’est en limitant la collecte, l’utilisation, la conservation et la communication des renseignements personnels à ce qui est manifestement nécessaire et proportionnel, en formant adéquatement les employés à la protection de la vie privée et en mettant en place des mécanismes de surveillance afin de nous assurer que les politiques sont efficaces que nous pourrons instaurer cette culture.
Depuis ma nomination en tant que Commissaire à la protection de la vie privée en juin 2022, ma vision de la protection de la vie privée repose sur cette réalité : les Canadiennes et les Canadiens veulent pouvoir participer activement et en toute connaissance de cause au monde numérique, à la société et à l’économie, sans être obligés de choisir entre cette participation et leur droit fondamental à la vie privée.
Les 3 piliers de ma vision sont les suivants :
- Le droit à la vie privée est un droit fondamental;
- La protection de la vie privée est un moyen de favoriser l’intérêt public et d’appuyer l’innovation et la compétitivité du Canada;
- La protection de la vie privée est un moyen d’accentuer la confiance des Canadiennes et des Canadiens envers leurs institutions et en tant que citoyens numériques.
Nous savons que les Canadiennes et les Canadiens se soucient de la protection de leur vie privée. Au cours de notre dernier sondage, 93 % des répondants ont dit être à tout le moins quelque peu préoccupés par la protection de leur vie privée. Cependant, ils veulent et doivent avoir la certitude que leur droit à la vie privée est protégé afin de pouvoir participer librement à l’économie numérique en toute confiance.
Nous savons également que les organisations des secteurs public et privé doivent s’adapter à l’ampleur et au rythme des progrès technologiques, et qu’elles s’efforcent de fonctionner et d’innover de manière à protéger la vie privée des Canadiennes et des Canadiens ainsi que de leurs clients.
Aujourd’hui, je vous parlerai de l’importance de la protection de la vie privée et des travaux accomplis par le Commissariat à l’échelle nationale et internationale dans ce domaine. Je préciserai également ce que nous pouvons faire pour épauler, orienter et soutenir les organisations afin qu’elles se conforment aux lois applicables en la matière, aujourd’hui et à l’avenir. J’exposerai également pourquoi il s’agit non seulement d’une nécessité, mais aussi d’un investissement judicieux.
Réforme législative
Cet automne, j’ai eu l’occasion d’exprimer mon point de vue sur le projet de loi C-27, la Loi sur la mise en œuvre de la Charte du numérique, devant le Comité permanent de l’industrie et de la technologie de la Chambre des communes (aussi appelé INDU). Le projet de loi comprend la Loi sur la protection de la vie privée des consommateurs, ou LPVPC, qui remplace essentiellement la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE).
Le projet de loi C-27 répond à des préoccupations qu’ont déjà exprimées le Commissariat et d’autres instances. Par exemple, en plus d’exiger que les renseignements utilisés pour obtenir le consentement soient présentés dans un langage facile à comprendre, il accorde au Commissariat le pouvoir de rendre des ordonnances et prévoit aussi une liste élargie des contraventions auxquelles des sanctions administratives pécuniaires peuvent s’appliquer, le cas échéant.
Dans l’ensemble, le projet de loi représente un pas dans la bonne direction, mais, comme je l’ai précisé, il peut et doit protéger davantage le droit fondamental à la vie privée.
Le mois dernier, dans une lettre adressée au Comité INDU, le ministre de l’Innovation, des Sciences et de l’Industrie a proposé des modifications au projet de loi, qui permettraient d’adopter quelques-unes des 15 principales recommandations formulées par le Commissariat pour renforcer la loi.
Il s’agit notamment de reconnaître explicitement la protection de la vie privée comme un droit fondamental, de renforcer les mesures de protection de la vie privée pour les jeunes et de donner une plus grande souplesse au Commissariat pour conclure des accords de conformité afin de corriger les comportements en matière de protection de la vie privée, notamment par le recours à des sanctions pécuniaires.
Le ministre a également déclaré qu’il proposerait des amendements autorisant une plus grande coopération entre les organismes de réglementation.
À l’heure actuelle, le projet de loi augmente ma capacité à collaborer avec un nombre limité d’organisations nationales : collaboration avec les commissaires à l’information et à la protection de la vie privée provinciaux et territoriaux, le CRTC et le Bureau de la concurrence.
Je crois qu’elle pourrait être élargie encore plus pour inclure d’autres organismes de réglementation, y compris peut-être ceux du secteur financier.
La possibilité de travailler avec d’autres organismes de réglementation serait précieuse dans les cas où la conduite en cause serait du ressort de plusieurs compétences et serait également compatible avec notre capacité actuelle à coopérer avec des partenaires internationaux.
Cette collaboration permettrait de réduire les coûts et le dédoublement d’efforts pour les organismes de réglementation et les organisations, et d’éviter ainsi que ceux-ci tirent des conclusions contradictoires ou incohérentes, ce qui peut rendre la conformité difficile pour les organisations et entraîner des risques supplémentaires pour les consommateurs.
Le Commissariat a formulé, à l’intention du gouvernement, plusieurs recommandations qui pourraient vous intéresser.
Nous avons demandé au gouvernement de renforcer le cadre applicable aux renseignements dépersonnalisés qui, je crois comprendre, va à l’encontre de ce que propose l’Association des banquiers canadiens.
À notre avis, les mesures techniques et administratives utilisées pour dépersonnaliser les données doivent être proportionnelles à la sensibilité de ces données et au risque qu’elles puissent être réidentifiées. Comme vous le savez, les données financières sont généralement considérées comme très sensibles.
Nous recommandons également que les fins visées par les organisations lorsqu’elles recueillent, utilisent ou communiquent des renseignements personnels soient explicites et indiquées.
L’IA générative et la protection de la vie privée
Bien entendu, le projet de loi C-27 introduit également la Loi sur l’intelligence artificielle et les données, ou LIAD. L’adoption de la LIAD pourrait faire du Canada l’un des premiers pays à réglementer l’intelligence artificielle (IA), ce qui est important compte tenu des risques éventuels de cette technologie. Bien que cette loi n’aborde pas expressément les risques d’atteinte à la vie privée, la Loi sur la protection de la vie privée des consommateurs s’appliquerait au traitement des renseignements personnels dans les systèmes d’IA, et j’ai recommandé des moyens d’améliorer cette situation.
Nous recommandons entre autres que les organisations soient tenues de mener des évaluations des facteurs relatifs à la vie privée (EFVP) afin de s’assurer que les risques pour la vie privée sont cernés et atténués pour les initiatives à risque élevé.
Compte tenu des préoccupations concernant la façon dont les systèmes d’IA prennent des décisions, ainsi que des questions d’équité, d’exactitude, de partialité et de discrimination, les organisations devraient également être tenues d’expliquer, sur demande, toutes les prédictions faites, les recommandations formulées, les décisions prises et le profilage effectué à l’aide de systèmes décisionnels automatisés.
De telles décisions peuvent avoir des répercussions profondes sur la vie des gens, et les Canadiennes et les Canadiens devraient avoir le droit de demander une explication s’ils reçoivent une décision automatisée.
Nous l’avons vu dans le secteur financier, par exemple, en ce qui concerne l’octroi de prêts. Lorsqu’il peut y avoir un effet marquant sur la vie des gens, l’intervention humaine est impérative.
Aucune technologie d’IA n’a autant suscité l’intérêt du public au cours de la dernière année que l’IA générative.
En septembre, Innovation, Sciences et Développement économique Canada a lancé un code de conduite volontaire visant un développement et une gestion responsables des systèmes d’IA générative avancés afin d’adopter des mesures pour cerner et atténuer les risques, lesquelles devraient être appliquées en attendant l’adoption de règlements contraignants.
Plus d’une douzaine d’entreprises et d’organisations ont signé le code de conduite volontaire pour y adhérer, notamment BlackBerry, OpenText, Telus et le Conseil canadien des innovateurs, qui représente plus d’une centaine d’entreprises en démarrage au Canada, dont certaines sont issues du secteur des technologies financières.
Le Code précise que les directives ne changent en rien les obligations juridiques que les entreprises peuvent avoir, par exemple, au titre de la LPRPDE.
Selon un récent rapport de l’Organisation de coopération et de développement économiques sur l’IA générative, les menaces pesant sur la vie privée figuraient parmi les 3 principaux risques retenus par les membres du G7 en ce qui concerne l’atteinte des objectifs nationaux et régionaux.
Compte tenu de toutes les répercussions sur la vie privée que cela pourrait avoir, il sera essentiel de mettre en place un mécanisme officiel pour que le Commissariat soit consulté au moment de rédiger les règlements pour encadrer l’IA et que nous soyons entièrement intégrés au cadre réglementaire de l’IA du Canada.
Plus tôt cette année, le Commissariat a également ouvert une enquête conjointe en collaboration avec plusieurs provinces sur OpenAI, l’entreprise qui est à l’origine de ChatGPT, afin d’établir si les pratiques de l’organisation sont conformes aux lois canadiennes sur la protection des renseignements personnels.
Cette enquête est en cours. Par ailleurs, nous continuons de promouvoir l’utilisation de technologies d’amélioration de la confidentialité, et nous collaborons avec des partenaires nationaux et internationaux afin de faire progresser l’adoption de pratiques exemplaires en matière de protection de la vie privée en ce qui concerne l’IA générative.
En juin dernier, dans une déclaration commune publiée à Tokyo avec les autorités de protection des données et de la vie privée du G7, nous avons invité les développeurs et les fournisseurs de technologies de service d’IA générative à intégrer la protection de la vie privée dans la conception, le fonctionnement et la gestion de ces nouveaux produits et services.
Nous avons également exhorté les entreprises à tenir compte des principes de protection de la vie privée mondialement reconnus, comme la minimisation des données, la qualité des données, la finalité, la limitation de l’utilisation, les mesures de sécurité, la transparence, les droits des personnes concernées, y compris le droit d’être informées de la collecte et de l’utilisation de leurs données personnelles, et la responsabilité.
Cette déclaration a été suivie d’une déclaration des dirigeants du G7 en octobre, laquelle intégrait bon nombre d’entre eux dans un ensemble de principes directeurs et un code de conduite pour les organisations qui mettent au point des systèmes avancés d’IA (comme des modèles de base d’IA générative), et la déclaration commune des autorités de protection des données du G7 a été mentionnée dans le code de conduite volontaire sur l’IA récemment dévoilé par le ministre Champagne.
Dans la poursuite de notre collaboration à l’échelle internationale, le Commissariat sera l’hôte, avec son collègue allemand chargé de la protection des données, d’une rencontre du Groupe de travail international sur la protection des données dans les technologies, de l’Assemblée mondiale pour la protection de la vie privée, qui se tiendra à Ottawa dans 2 semaines.
Système bancaire ouvert
Nous reconnaissons aussi que le projet de loi C-27 permettra la mobilité des données, bien qu’une grande partie des détails figureront dans les règlements d’application.
La mobilité des données facilitera certainement le système bancaire ouvert. Je sais que la semaine dernière, des dizaines de dirigeants du secteur des technologies financières ont écrit au ministre des Finances pour demander l’adoption immédiate du système bancaire ouvert, qui a figuré par la suite dans l’Énoncé économique de l’automne publié hier. Le Commissariat appuie le système bancaire ouvert, et nous avons hâte d’examiner en détail l’initiative annoncée hier lorsque le projet de loi budgétaire sera déposé.
Concernant le système bancaire ouvert au Canada, nous avons recommandé à ce jour qu’il soit fondé notamment sur le respect de la vie privée et d’autres droits fondamentaux.
Par exemple, les particuliers devraient avoir le droit de contrôler leurs renseignements, et avoir la capacité de consentir en toute connaissance de cause à la manière dont leurs renseignements sont utilisés et à qui ils sont communiqués.
Le fait de donner ce contrôle aux Canadiennes et aux Canadiens contribuera à renforcer leur confiance et à leur donner l’assurance qu’ils ne sont pas le « produit » du système bancaire ouvert.
Afin de garantir l’uniformité des règles de base du système bancaire ouvert, nous recommandons l’élaboration de normes techniques et de protection des renseignements personnels. Nous avons d’ailleurs indiqué au Parlement que nous serions heureux de fournir notre expertise en matière de protection des renseignements personnels pour appuyer l’élaboration de normes canadiennes.
Afin d’assurer une collecte, une utilisation et une communication responsables de renseignements financiers de nature sensible, nous recommandons en outre que les institutions financières et le secteur des technologies financières soient tenus d’analyser et de consigner les risques pour la vie privée, et de planifier la façon dont ces risques seront atténués.
Enfin, je note que la confiance du public envers nos institutions fédérales et financières est indispensable au succès d’un système bancaire ouvert.
Un organisme de réglementation solide est essentiel pour établir cette confiance. Tout changement apporté aux politiques et aux lois dans le domaine financier exigera une mise à jour simultanée des lois canadiennes sur la protection des renseignements personnels.
Le système bancaire ouvert est aussi un bon exemple d’un domaine où il serait utile de pouvoir coopérer et échanger de l’information avec d’autres organismes de réglementation, comme le Bureau de la concurrence.
Lutte contre le recyclage des produits de la criminalité
Je tenais également à aborder les efforts visant à renforcer le régime canadien de lutte contre le recyclage des produits de la criminalité qui, je crois, fait l’objet de discussions au sein de quelques-uns des groupes d’experts dans le cadre de cette conférence. Une fois encore, l’Énoncé économique de l’automne d’hier comprenait également des plans visant à modifier la législation dans ce domaine, que j’examinerai de plus près en temps voulu.
Le Commissariat est chargé de réaliser un examen du CANAFE tous les 2 ans. Le mois dernier, j’ai fait part de mes observations au ministère des Finances dans le cadre de sa consultation visant à orienter son prochain examen législatif de la Loi sur le recyclage des produits de la criminalité et le financement des activités terroristes.
J’ai été ravi de constater que le document de consultation établit le droit à la vie privée comme un aspect fondamental du régime.
Le document de consultation propose également un « régime de maintien ouvert » en vertu duquel les institutions financières pourraient être tenues, ou peut-être simplement autorisées, à maintenir ouvert un compte financier personnel à la demande des organismes d’application de la loi.
Nous recommandons au gouvernement d’étudier attentivement les conséquences néfastes que cela pourrait avoir pour les titulaires de comptes concernés.
Si le gouvernement adopte un tel régime, il est essentiel d’y intégrer des mesures de protection de la vie privée, telles que des limitations d’utilisation, des délais, ainsi que des exigences en matière de tenue de registres et de rapports.
Le document de consultation traite également des diverses options, comme une disposition d’exonération, pour améliorer l’échange de renseignements au sein du secteur privé afin de cibler et de perturber le recyclage des produits de la criminalité et le financement des activités terroristes.
Nous avons mentionné au gouvernement que le cadre actuel de la LPRPDE prévoit déjà un cadre juridique pour la collecte, l’utilisation et la communication de renseignements personnels à l’insu des personnes concernées ou sans leur consentement, dans les cas de fraude ou au cours d’enquêtes.
Nous encourageons également le gouvernement à envisager la mise en œuvre de mesures de sécurité et de protection comparables à celles d’autres juridictions qui ont adopté une disposition d’exonération. Nous recommandons aussi au gouvernement de consulter le Commissariat et de mener des EFVP.
En ce qui concerne les déclarations d’opérations douteuses, le Commissariat a soulevé des préoccupations dans le cadre d’audits antérieurs au sujet de la surdéclaration, par exemple par des institutions financières qui préféreraient faire des déclarations excessives plutôt que de s’exposer à des sanctions en cas de sous-déclaration.
Dans un rapport récent, le CANAFE a déclaré que sur les 24,7 millions de dossiers reçus au cours d’un exercice, seulement 2 015 communications de renseignements étaient exploitables, alors que l’ensemble des dossiers étaient conservés, dans certains cas pendant plus de 15 ans.
Cette pratique pose des risques d’atteinte à la vie privée et soulève des questions relatives à la proportionnalité. Une fois que ces renseignements sont analysés et que l’on conclut qu’une personne ne représente pas une menace, ils ne devraient plus être conservés.
Des efforts devraient également être déployés pour améliorer la communication entre le CANAFE et les entités déclarantes, afin de réduire le volume de déclarations d’opérations douteuses non fondées.
Enfin, je sais que les banques et les services financiers dépensent des milliards de dollars chaque année pour satisfaire aux exigences en matière de lutte contre le recyclage des produits de la criminalité et qu’ils cherchent toujours de nouvelles façons de détecter de telles activités criminelles.
Le document de consultation soulève l’idée de bacs à sable réglementaires où les institutions financières peuvent expérimenter de nouvelles technologies.
Notre position a été d’insister sur le fait que les lois sur la protection des renseignements personnels et des données continuent de s’appliquer, étant donné qu’il s’agit de droits fondamentaux, et que l’expérimentation doit être étroitement encadrée.
Nous invitons le CANAFE à tirer parti de notre expertise au fur et à mesure que cette initiative prend forme, et rappelons aux entités déclarantes du secteur financier qui envisagent de recourir à l’IA de s’assurer que les individus concernés puissent exercer leurs droits en ce qui concerne l’accès à leurs renseignements personnels, la rectification de ceux-ci s’ils sont inexacts, et le refus de faire l’objet de décisions fondées exclusivement sur un traitement automatisé, lesquelles ont des répercussions importantes.
Atteintes et outil d’évaluation du risque réel de préjudice grave
En ce qui concerne la mise à profit de notre expertise, le Commissariat dispose de nombreuses ressources sur son site Web pour aider des organisations comme la vôtre à se conformer à la loi fédérale sur la protection des renseignements personnels. Vous pourriez adresser vos questions particulières en matière de conformité à notre Direction des services-conseils à l’entreprise.
À cet égard, j’aimerais que l’on aborde maintenant le sujet de la conformité, et qu’on se penche sur la question des atteintes à la vie privée ainsi que sur certaines leçons clés que l’on a tirées d’enquêtes récentes.
Les atteintes qui ont trait aux renseignements personnels demeurent un problème récurrent. Sur les quelque 700 atteintes à la vie privée signalées au Commissariat l’an dernier, plus du quart d’entre elles – soit 27 % – concernaient le secteur financier.
Les 5 secteurs pour lesquels nous avons reçu le plus grand nombre de déclarations d’atteintes sont les télécommunications, les services professionnels, les ventes, le commerce de détail et l’assurance.
L’an dernier, près de 760 000 comptes canadiens ont été touchés par des atteintes à la vie privée qui ont été signalées au Commissariat par le secteur financier. Parmi celles-ci, 55 mettaient en cause des cyberattaques véritables lancées par l’entremise de logiciels malveillants, d’identifiants compromis ou de stratagèmes d’hameçonnage.
Le secteur financier a également fait l’objet de 56 atteintes à la vie privée liées à une communication non autorisée de renseignements, d’une douzaine liée à la perte de renseignements personnels et d’une autre douzaine liée au vol de renseignements personnels.
Outre le coût sur le plan humain – atteinte à la réputation, perte financière et vol d’identité –, IBM estime que le coût financier moyen actuel d’une violation de données s’élève à environ 4,45 millions de dollars américains.
Nous savons que les données personnelles sont extrêmement précieuses, et que les données financières constituent une cible particulièrement attrayante pour les personnes malveillantes.
Les organisations doivent faire de la sécurité une priorité en renforçant la protection des identifiants des employés, en installant les correctifs de sécurité dès qu’ils sont offerts, en instaurant une authentification à 2 facteurs ou multifacteur obligatoire, en formant adéquatement les employés, en mettant en œuvre un programme rigoureux de gestion de la protection des renseignements personnels, ainsi qu’en investissant dans la cybersécurité pour empêcher tout accès non autorisé.
Cela dit, nous avons également conscience qu’une entreprise qui a pris toutes les mesures nécessaires peut tout de même faire l’objet d’une atteinte à la vie privée. Les atteintes n’équivalent pas à la non-conformité et le signalement des cas d’atteinte à la vie privée ne donne pas nécessairement lieu à une enquête du Commissariat.
Les organisations assujetties à la LPRPDE, dont les institutions financières et les compagnies d’assurance font généralement partie, sont tenues de signaler toute atteinte à la vie privée lorsqu’il est raisonnable de croire qu’une atteinte présente un risque réel de préjudice grave.
Les organisations sont également tenues d’aviser tous les individus touchés. Les organisations qui omettent sciemment de respecter leurs obligations en matière de signalement ou de notification des atteintes s’exposent à une sanction pécuniaire.
Le Commissariat a élaboré un document d’orientation pour aider les organisations à évaluer le risque réel de préjudice grave, un concept très vaste comprenant la lésion corporelle, l’humiliation, le dommage à la réputation ou aux relations, la perte d’emploi, la perte financière, le vol d’identité, l’effet négatif sur le dossier de crédit, le dommage aux biens ou leur perte.
Au moment d’établir s’il y a ou non un risque réel de préjudice grave, il faut tenir compte du degré de sensibilité des renseignements personnels visés et de la probabilité que ceux-ci aient été, sont ou seront mal utilisés.
Nous avons aussi conçu une application de bureau pour orienter l’évaluation du risque, au moyen de laquelle une série de questions sont posées afin d’établir s’il est raisonnable de croire qu’une atteinte à la vie privée crée ou non un risque de préjudice grave. Sans remplacer le jugement d’un être humain, cet outil fournit des données qui permettent de porter un jugement éclairé.
La première phase de mise en œuvre de l’application a été lancée à l’interne en mars 2022. Dans le cadre d’un récent projet pilote, 20 organisations ont eu accès à l’application, dont 5 provenant du secteur financier, afin de la mettre à l’essai et de faire part de leurs observations. Les commentaires recueillis ont été très positifs et serviront à améliorer la version interne de l’application et à concevoir une version destinée au public.
Leçons tirées de cas récents
Enfin, avant de conclure et de répondre à vos questions, j’aimerais aborder quelques leçons tirées de cas récents.
J’ai remarqué qu’une séance aujourd’hui portera sur la détection et l’atténuation des risques liés aux tiers. Notre enquête récente sur Home Depot présente d’importants points à retenir dans ce domaine.
Home Depot
En effet, notre enquête a révélé que Home Depot recueillait les adresses électroniques de clients lors de leur passage à la caisse aux fins convenues d’envoyer à ces derniers un reçu électronique.
Toutefois, le détaillant transmettait également à Facebook les adresses électroniques des clients sous forme chiffrée ainsi que des renseignements généraux sur les achats de ceux-ci en magasin au moyen d’un outil appelé « Conversions hors ligne », et ce, à l’insu de la plupart des clients. Facebook utilisait cet outil pour mesurer l’efficacité des publicités qu’elle diffusait pour Home Depot, mais aussi à ses propres fins commerciales, comme le profilage et le ciblage publicitaire.
Les entreprises qui cherchent de plus en plus à offrir des services en ligne doivent porter une attention particulière à toute utilisation des renseignements personnels qu’elles recueillent, car il pourrait être nécessaire d’obtenir un consentement supplémentaire.
Dans le cas présent, il est peu probable que les clients de Home Depot se soient attendus à ce que leurs renseignements personnels soient communiqués à une plateforme de médias sociaux tiers.
Les clients ont besoin de renseignements clairs aux moments clés d’une transaction afin de pouvoir prendre des décisions éclairées sur la façon dont leurs renseignements personnels seront utilisés et de donner un consentement valable. Vouloir éviter la lassitude du consentement ne justifie pas le défaut d’obtenir un consentement valable.
Atteinte à la BMO
Ce cas remonte à quelques années, mais permet de tirer de bonnes leçons.
La Banque de Montréal a fait l’objet d’une série de cyberattaques sophistiquées perpétrées par des personnes malveillantes qui ont repéré et exploité une faille de sécurité dans le logiciel de services bancaires en ligne de l’entreprise, afin d’exfiltrer les renseignements personnels de plus de 110 000 clients.
En plus d’avoir relevé certaines lacunes dans les mesures de sécurité techniques de la banque, nous avons dégagé 2 leçons d’ordre général à retenir dont j’aimerais vous faire part.
Premièrement, l’application de services bancaires en ligne avait été développée à l’interne. La vulnérabilité a été intégrée involontairement et n’a pas été détectée en raison de lacunes au cours du cycle de développement et d’essais de la banque.
Un cycle de développement et des protocoles de mise à l’essai rigoureux sont essentiels pour déceler les faiblesses des logiciels avant leur mise en service.
Deuxièmement, la banque n’a découvert l’atteinte qu’après avoir reçu une demande de rançon, et ce, des mois après le début de l’attaque.
La banque avait détecté des activités suspectes quelques mois plus tôt et avait réagi rapidement pour atténuer les préjudices financiers en protégeant les comptes financiers. Elle n’a toutefois réalisé aucun examen approfondi de l’attaque à ce moment-là, ce qui aurait permis de mettre au jour l’exfiltration continue des données. En tant qu’institutions financières, les précieuses données que vous détenez, et pas seulement les données financières, peuvent être des cibles privilégiées pour les personnes malveillantes.
Conclusion
Les Canadiennes et les Canadiens se soucient plus que jamais de la protection de leurs renseignements personnels.
Plus les gens ont la certitude que leurs renseignements personnels sont protégés, plus ils se sentiront en confiance pour participer librement à l’économie numérique.
Les ressources consacrées à la protection et à la promotion de la vie privée sont des investissements dans la confiance qui porteront leurs fruits dans nos efforts pour créer une culture de protection de la vie privée.
Je me réjouis à l’idée de continuer à trouver des moyens de travailler ensemble afin que les Canadiennes et les Canadiens puissent profiter des nombreux avantages qu’offre la technologie sans avoir à sacrifier la sécurité de leurs renseignements personnels.
Le Canada peut être un centre d’innovation et un modèle de bon gouvernement qui montre la valeur et l’avantage de protéger les renseignements personnels de la population canadienne.
Je vous souhaite à toutes et à tous une excellente fin de conférence, et je serai heureux de répondre à vos questions.
- Date de modification :