La LPRPDE et la protection de la vie privée dans les secteurs financiers réglementés

Commentaires lors du Forum conjoint des autorités de réglementation du marché financier

Toronto, Ontario
le 25 mars 2009

Allocution prononcée par Elizabeth Denham,
Commissaire adjointe à la protection de la vie privée du Canada

(La version prononcée fait foi)

---

Introduction

Je vous remercie, Bob Christie, pour cette gentille présentation.

Je suis ravie dêtre ici cet après-midi. Japprécie cette invitation à prendre part à votre repas et à vos discussions sur la protection de la vie privée.

Tout dabord, jaimerais vous souhaiter, au nom de Jennifer Stoddart, commissaire à la protection de la vie privée du Canada, une belle conférence et un échange didées stimulant.

Je sais quà titre dautorités de réglementation dans vos domaines respectifs, vous rendez tous un fier service au peuple canadien. En ces temps dincertitude économique, tout particulièrement, les Canadiennes et les Canadiens ont besoin de savoir que leur pension, leurs assurances et leurs valeurs mobilières sont protégées par un cadre de réglementation efficace.

Toutefois, aux yeux des Canadiennes et des Canadiens, la protection de la vie privée compte autant que leurs intérêts financiers, puisque celle-ci constitue un droit fondamental qui en sous-tend dautres, comme lautonomie individuelle, la liberté de réunion et la liberté dexpression.

En bref, la protection de la vie privée correspond au droit des personnes de conserver un certain pouvoir sur leurs renseignements personnels.

Ainsi, même en sachant que vos rôles dautorités de réglementation nexigent pas de collecte de renseignements personnels au quotidien, je crois quil est important que vous compreniez comment les lois sur la protection des renseignements personnels influent sur  les organismes que vous réglementez.

Les entreprises doivent souvent parvenir à un équilibre complexe en ce qui concerne la myriade dexigences réglementaires auxquelles elles sont assujetties. Ces organismes recueillent et gèrent aussi une importante quantité de renseignements personnels de nature délicate, et ne peuvent donc, en aucun cas, faillir à la tâche.

Défi

Permettez-moi dabord de vous mettre en contexte.

Je crois que nous pouvons convenir que, de nos jours, la vie privée est de plus en plus menacée.

Dune part, la protection de la vie privée est menacée par la technologie, puisque cette dernière permet de repérer nimporte qui nimporte où et de profiter dun accès sans précédent à nos renseignements personnels. Nos empreintes digitales croissent de façon exponentielle. Lère dInternet a suffi à créer une toute nouvelle génération de voleurs didentité et dautres escrocs.

Dautre part, la protection de la vie privée peut, indirectement, être compromise lorsque les gouvernements cherchent à régler certains problèmes, comme la cybercriminalité et les atteintes à la sécurité nationale.

Une recherche effectuée par lUniversité Carnegie Mellon a démontré que les acheteurs en ligne sont prêts à payer une prime pour protéger leurs renseignements personnels. En  moyenne, les personnes étaient prêtes à payer un montant supplémentaire de 0,60 $ sur un achat de 15 $ lorsquelles étaient satisfaites de la politique de confidentialité du vendeur.

Dun point de vue commercial, la protection de la vie privée des consommateurs et des clients constitue une bonne stratégie commerciale parce que le coût associé à linaction  en ce qui concerne la réparation des torts causés par des atteintes à la sécurité des données et le rétablissement de la réputation dune entreprise  peut savérer plus élevé que celui dun investissement dans des mesures de protection de la vie privée. La réputation dune entreprise et la confiance envers une marque sont essentielles dans le marché actuel.

Vue densemble

Dans ce contexte, jaimerais vous offrir une vue densemble, cet après-midi, des lois qui régissent la protection de la vie privée et des renseignements personnels dans le secteur privé. Je veux vous présenter le contexte et les modalités dapplication de ces lois, ainsi que vous fournir des exemples concrets de leur mise en pratique.

Commençons par une histoire à propos dun homme qui est en arrêt de travail en raison dun congé d'invalidité de longue durée.

Un jour, on sonne à sa porte. Létranger qui se trouve devant lui le remercie davoir répondu à un sondage téléphonique et lui offre gratuitement un magazine en guise de récompense.

Lhomme, à son tour, remercie létranger pour le magazine, puis retourne vaquer à ses occupations.

Plus tard, il apprend que cette brève et banale rencontre a été filmée par une caméra cachée dans le cadre des démarches de surveillance secrète dun détective privé.

Le détective avait été embauché par une compagnie dassurance convaincue que lhomme exagérait son affection. Lhomme, fâché, a porté plainte au Commissariat pour atteinte à la vie privée.

Est-ce bien un cas datteinte à la vie privée?

Après avoir soupesé tous les faits de cette affaire, nous avons établi que lhomme avait raison de porter plainte. À notre avis, la compagnie dassurance avait violé un principe clé de la protection de la vie privée en recueillant plus de renseignements quelle en avait réellement besoin pour arriver aux fins prévues dans le cadre de leurs activités particulières.

Nous avons conclu quil existait des techniques moins envahissantes pour confirmer lidentité de la personne faisant lobjet de lenquête que de la photographier clandestinement à domicile.

Survol de la LPRPDE

En moyenne, le Commissariat à la protection de la vie privée traite plus de 400 plaintes comme celle-ci annuellement, en vertu de la LPRPDE, ou Loi sur la protection des renseignements personnels et les documents électroniques.

Cette loi, qui régit la protection des renseignements personnels dans le secteur privé, est entrée pleinement en vigueur en 2004. Elle sapplique aux organismes qui recueillent, utilisent et communiquent des renseignements personnels dans le cadre dactivités commerciales.

La LPRPDE sapplique à pratiquement toutes les entreprises commerciales au Canada, y compris celles des trois secteurs assujettis à vos réglementations. Les seules exceptions sont les entreprises sous réglementation provinciale en Alberta, en Colombie-Britannique et au Québec, puisque ces provinces ont adopté des lois essentiellement similaires à la LPRPDE.

En vertu de la LPRPDE, les organismes doivent recueillir, utiliser ou communiquer les renseignements personnels des gens de façon honnête et licite, avec leur consentement, et uniquement à des fins qui sont déclarées et raisonnables.

Les organismes doivent également protéger les renseignements au moyen de mesures de sécurité appropriées et les détruire lorsquils ne servent plus aux fins prévues dans le cadre de leurs activités particulières.

En vertu de la LPRPDE, les consommateurs ont le droit de sattendre à ce que les renseignements personnels que les organismes détiennent à leur endroit soient exacts, complets et à jour. Pour ce faire, ils ont le droit de consulter ces renseignements et dexiger des corrections sils croient quune donnée est fausse ou incomplète.

Participation du CPVP

Si quelquun pense quune entreprise ne respecte pas les exigences énoncées dans la LPRPDE, il peut porter plainte au Commissariat à la protection de la vie privée et nous devrons faire enquête.

Puisque la commissaire à la protection de la vie privée est, principalement, une ombudsman, notre approche consiste à tenter de résoudre les conflits par voie de négociation.

Nous ne détenons pas de pouvoir direct dexécution de la loi, mais si une entreprise refuse de donner suite à nos recommandations, nous avons le pouvoir de solliciter une ordonnance exécutoire de la Cour fédérale.

Heureusement, pratiquement tout le monde applique nos recommandations. En fait, en moyenne, moins de 10 cas par année font lobjet de litiges.

Par ailleurs, nous tentons déviter les situations qui peuvent mener à des plaintes, notamment grâce à des initiatives de sensibilisation du public, au financement de la recherche sur la protection de la vie privée, à la consultation de groupes industriels et à la vérification dentreprises pour confirmer quelles respectent la loi.

Présentation des enjeux

Le Commissariat enquête sur des cas concernant des entreprises de vos secteurs dactivité, mais en général, davantage denjeux sont soulevés dans lindustrie de lassurance que dans les deux autres secteurs.

Cette réalité sexplique par le fait que dans lindustrie de lassurance, on traite souvent de renseignements personnels hautement confidentiels, comme des dossiers médicaux. La relation entre lassureur et le demandeur peut également devenir difficile. Lassureur peut aussi avoir recours à des détectives privés, à la surveillance secrète et à dautres méthodes de collecte de renseignements, ce qui peut soulever des enjeux en matière de protection de la vie privée.

Comme je le mentionnais précédemment, la technologie daujourdhui ajoute de nouvelles dimensions au processus de collecte de renseignements.

Par exemple, beaucoup de nouveaux véhicules sont dotés de « boîtes noires », ou enregistreurs de données, qui captent linformation relative aux accidents, comme la vitesse du véhicule, lapplication des freins ou lutilisation des ceintures de sécurité. De telles données servent maintenant de preuves utilisées par plusieurs organisations lors de procès.

Les données captées par les boîtes noires peuvent constituer des renseignements personnels du conducteur et donc être assujetties à la LPRPDE. Toutefois, puisque la plupart des personnes ignorent la présence de tels dispositifs dans leur véhicule, elles peuvent difficilement consentir à lutilisation des données quils contiennent.

Information et consentement

Dans le cadre de la LPRPDE, linformation et le consentement font partie des principaux enjeux que nous devons aborder.

Comme nous lavons affirmé à maintes reprises dans nos conclusions, les entreprises sont tenues dindiquer clairement aux consommateurs pourquoi et comment elles recueillent, utilisent et communiquent leurs renseignements personnels, ainsi que de restreindre leur collecte aux renseignements nécessaires aux fins mentionnées.

Il y a deux ans, nous avons résolu une plainte dun homme qui alléguait, après sêtre fait voler des bijoux et de largent, que lexpert en assurance chargé de son dossier exigeait davantage de renseignements que le simple relevé des dommages.

En effet, lexpert demandait aussi à lhomme de remplir un formulaire de consentement à la collecte de renseignements personnels, qui exigeait toutes sortes dautres renseignements, comme son dossier médical, ses antécédents en matière de crédit, des renseignements relatifs à son emploi et même des déclarations de témoins.

Nous avons convenu avec le plaignant que le libellé utilisé était trop général et nous avons formulé des recommandations à lexpert, de même quaux groupes de lindustrie de lassurance. Lexpert a cessé dutiliser le formulaire et la remplacé par deux formulaires distincts, un premier pour les demandes de règlement relatives aux biens et lautre pour celles relatives aux blessures corporelles.

Surveillance secrète

En raison des enjeux touchant linformation et le consentement, le Commissariat préconise la prudence par rapport au recours à la surveillance secrète, une pratique utilisée par les employeurs et dans lindustrie de lassurance.

La LPRPDE stipule que, de façon générale, toute personne doit être informée de toute collecte, utilisation ou communication de renseignements personnels qui la concernent et y consentir.

Il existe cependant des exceptions, comme lorsque des renseignements sont requis pour déceler des fraudes ou des actes illégaux, ou encore enquêter sur ceux-ci. Dans de tels cas, chercher à obtenir le consentement des personnes mises en cause pourrait savérer contre-productif.

Nous avons constaté que la surveillance secrète peut souvent savérer justifiable dans le domaine de lassurance.

Dans dautres cas, comme dans celui de lhomme pris en photo par un détective qui sétait présenté chez lui sous un faux prétexte, la surveillance secrète va trop loin.

Toutefois, il est difficile de fixer les limites. Dailleurs, puisquil sagit dun enjeu si complexe, nous avons procédé à une consultation auprès des membres de lindustrie et nous préparons actuellement un document sur les pratiques exemplaires afin doffrir des conseils et des lignes directrices utiles.

Limitation de la collecte

Selon un autre principe important de la LPRPDE, les organismes ne doivent recueillir que les renseignements personnels nécessaires aux fins prévues dans le cadre de leurs activités particulières.

La raison qui sous-tend ce principe est quune fois quils ont recueilli les renseignements, ils doivent les protéger. Dès lors, ils sexposent aux risques de perdre ou de se faire voler des renseignements, ainsi quà dautres atteintes à la sécurité des données, sur lesquels nous nous pencherons dans un instant.

Savoir exactement quels renseignements recueillir nest pas une tâche facile. Dailleurs, voici un exemple survenu dans lindustrie des valeurs mobilières qui nous a permis de réfléchir à la question.

En 2006, un homme sest plaint au Commissariat que son courtier en valeurs mobilières lui demandait trop de renseignements personnels.

Outre son numéro dassurance sociale, le courtier lui a demandé des photocopies de deux pièces didentité, dont une avec photo, en plus dexiger une déclaration précisant sil était ou non un initié, ou un actionnaire dominant dune société cotée en bourse.

Après enquête, le Commissariat a noté que la réglementation des valeurs mobilières oblige les entreprises dinvestissement à vérifier lidentité, la solvabilité et la réputation de chaque client.

Nous avons conclu, dans ce cas, que les renseignements demandés étaient réellement nécessaires à lentreprise afin quelle respecte son obligation juridique de « connaître ses clients ».

CANAFE

Ce quun cas comme celui-ci nous révèle, cest que de plus en plus de pressions sexercent de toutes parts en ce qui a trait à la collecte de données et que lune des sources principales de cette pression est la sécurité nationale.

Par exemple, la Loi sur le recyclage des produits de la criminalité et le financement des activités terroristes oblige beaucoup dentreprises et de professionnels, y compris les banques, les casinos, les avocats, les courtiers immobiliers et les comptables, à recueillir des renseignements sur leurs clients et à les rapporter au CANAFE, ou Centre d'analyse des opérations et déclarations financières du Canada.

Le fait que certaines entreprises recueillent de trop grandes quantités de renseignements personnels en vertu de la loi est inquiétant. De plus, la loi demande également aux entreprises de se prononcer sur ce qui constitue des activités suspectes. Les entreprises devraient examiner attentivement les exigences législatives avant de mettre en Suvre de nouvelles pratiques de collecte de données.

Les défenseurs de la vie privée reconnaissent la nécessité de lutter contre le recyclage des produits de la criminalité et le financement des activités terroristes. Mais il faut atteindre un équilibre concernant les mesures ayant une large portée.

Heureusement, nous sommes en mesure de nous prononcer sur cette question. En vertu de la Loi, le Commissariat doit examiner le CANAFE tous les deux ans et faire état de ses résultats au Parlement.

Circulation transfrontalière des données

Un autre important aspect de la LPRPDE est quune fois quune entreprise a recueilli des renseignements personnels, elle doit en assurer leur protection. Il importe quelle comprenne bien la tâche de gestion des risques rattachée à cette obligation, qui ne fait que croître proportionnellement à la quantité de renseignements recueillis.

Cela savère déjà difficile si ses activités sont menées au Canada. Mais en cette ère dimpartition et de mondialisation, il est fort probable que les renseignements soient transmis à lextérieur du pays à des fins de traitement.

La LPRPDE ne renferme pas de disposition interdisant la circulation transfrontalière des données, mais elle exige tout de même que les entreprises protègent les renseignements personnels quelles détiennent, même si lutilisation de ces renseignements a été impartie au-delà des frontières canadiennes.

De plus, la LPRPDE oblige les entreprises à informer les consommateurs que leurs renseignements personnels pourraient être transmis à lextérieur du pays, et que pendant que ces renseignements se trouvent à létranger, ils sont assujettis aux lois locales.

Ceci mamène à vous parler de la USA PATRIOT Act, en vertu de laquelle les renseignements personnels des Canadiennes et des Canadiens transmis aux entreprises américaines peuvent être communiqués aux organismes gouvernementaux américains.

En 2007, nous avons procédé à une enquête à la suite dune plainte déposée contre la SWIFT, ou Society for Worldwide Interbank Financial Telecommunication. Cette coopérative financière européenne offre des services de messagerie et des logiciels dinterface aux institutions financières de plus de 200 pays, y compris le Canada.

Le New York Times a révélé quà la suite des attentats du 11 septembre 2001, le département du Trésor des États-Unis a eu recours à des assignations administratives en vertu de la USA PATRIOT Act en vue daccéder à des dizaines de milliers de dossiers de la SWIFT, y compris ceux de citoyens canadiens.

Néanmoins, le Commissariat a conclu que la SWIFT navait pas contrevenu à la LPRPDE en communiquant les renseignements personnels de Canadiennes et de Canadiens au département du Trésor des États-Unis parce que la société se conformait à des assignations légitimes émises à lextérieur du Canada.

En bref, la SWIFT sétait conformée aux lois du pays dans lequel elle exerce ses activités.

La protection des renseignements personnels transmis à létranger constitue un enjeu complexe et nuancé. Cest pourquoi le Commissariat a récemment publié les Lignes directrices sur le traitement transfrontalier des données personnelles, un document dorientation visant à aider les organismes à comprendre leurs obligations.

Atteintes à la vie privée

Avec, dune part, toute cette pression exercée sur les organismes pour quils recueillent des renseignements personnels et, dautre part, limmense puissance informatique qui rend cette collecte possible, il y aura toujours des risques que la situation aille mal& très mal.

Aux États-Unis, par exemple, le vol dun seul portable appartenant au département des anciens combattants a suffi pour compromettre les dossiers de 26 millions danciens combattants. En 2007, les entreprises TJX ont fait face à une crise lorsquelles se sont fait voler lincroyable montant de 98 millions de numéros de cartes de crédit et de débit, du jamais vu pour ce type datteinte à la sécurité de données.

Ici même, au Canada, un cas est survenu à la fin de 2006 quand la CIBC a tenté denvoyer un disque dur externe de Montréal à Markham, en Ontario, au moyen dun messager. Le disque dur contenait les renseignements personnels de plus de 400 000 clients ou anciens clients de la société de fonds communs de placement Talvest.

Malheureusement, le colis est arrivé à destination, mais sans le disque dur externe. Heureusement, à ce jour, rien ne montre que des données ont été compromises ou quon y a accédé indûment. En fait, personne ne sait avec certitude si le disque dur a même été placé dans le colis. On ne la jamais retrouvé.

Ainsi, même si des conséquences potentiellement fâcheuses ont été évitées, notre enquête a tout de même permis de tirer quelques leçons importantes.

Réactions aux atteintes à la vie privée

Nous avons conclu, par exemple, quun organisme ne peut se contenter de se doter de belles politiques et procédures de sécurité bien ficelées; il doit aussi les mettre en application, et ce, avec constance et diligence.

Cette démarche nécessite une formation continue de la direction et du personnel sur la protection de la vie privée afin de les sensibiliser à limportance de la sécurité des données dans lensemble de lorganisme.

Jaimerais souligner que la protection des renseignements personnels est une responsabilité partagée par tous les membres dune organisation.

En réalité, bien que des atteintes catastrophiques de lampleur du cas des entreprises TJX retiennent toute lattention des médias, les atteintes à la vie privée les plus fréquentes proviennent dincidents anodins, comme une télécopie, une lettre ou un courriel envoyé au mauvais destinataire.

Une analyse triennale du Commissariat a permis de constater que de telles erreurs commises au quotidien constituent 36 % des atteintes à la vie privée. Une autre proportion de 26 % des atteintes provient de la consultation ou de la communication non autorisée de renseignements personnels, généralement par un employé ou un entrepreneur. Le reste des cas correspond à la perte de matériel comme un disque dur contenant des données chiffrées, où il est difficile de déterminer si des renseignements personnels ont bel et bien été communiqués.

Puisque la plupart des atteintes résultent derreurs banales sans grande technicité, les solutions les plus efficaces sont bien souvent tout aussi simples, comme la promotion, auprès des employés, du soin et du respect des renseignements personnels qui leur sont confiés.

Avis dincident

Parallèlement, les processus entourant lavis dincident lié à la protection des renseignements personnels constituent un autre élément tout aussi essentiel.

Le Commissariat a affirmé que si un organisme soupçonne un incident tel un vol de renseignements personnels, il devrait en informer la police le plus tôt possible afin déviter que les éléments de preuve ne deviennent périmés ou ne soient corrompus.

De même, lorganisme doit faire preuve de la même rigueur dans la communication de ce type dincident aux clients touchés.

Un des cas examinés lannée dernière concernait le vol dun portable contenant les renseignements personnels de plus de 870 clients dune banque. Mis à part les mesures de sécurité insuffisantes qui, normalement, auraient dû empêcher un voleur de quitter les lieux avec le portable, la plaignante reprochait à la banque davoir attendu trois mois avant de laviser de latteinte. Selon elle, cette période augmentait les risques que ses renseignements personnels soient utilisés à des fins criminelles.

Dans nos conclusions, nous avons recommandé vivement aux institutions de faire preuve dinitiative et de franchise lorsquelles doivent signaler une atteinte à la vie privée à leurs clients. En 2007, nous avons élaboré des lignes directrices sur la notification volontaire des atteintes à la protection de la vie privée en collaboration avec lindustrie et les organisations des secteurs financier et du commerce de détail nous signalent des atteintes et nous demandent notre avis fréquemment.

Jen profite pour mentionner que le gouvernement étudie actuellement la possibilité de modifier la LPRPDE de manière à ce que les organismes soient obligés de signaler toute atteinte importante à la sécurité des données au Commissariat à la protection de la vie privée ainsi quaux clients ou aux personnes touchés.

Coûts

Je crois quil est juste daffirmer que, de nos jours, la plupart des entreprises comprennent limportance de la protection de la vie privée, spécialement lorsquil est question de valeurs mobilières, de pensions ou dassurances.

Cependant, certaines inquiétudes persistent au sujet des coûts. Les entreprises se demandent parfois sil vaut vraiment la peine dinvestir dans des mesures de protection des données.

À cela je réponds et je répète : absolument.

Vous navez quà demander aux entreprises TJX, qui auraient dépensé plus de 25 millions de dollars pour réparer les dégâts causés par limmense atteinte à la vie privée quelles ont connue. Elles font face à une vingtaine de poursuites en recours collectif, sans compter qu&