Mémoire reçu dans le cadre de la consultation sur le consentement en vertu de la LPRPDE (Association des banquiers canadiens)

Association des banquiers canadiens

Octobre 2016

Remarque : Ce document a été présenté par les auteurs ou auteures au Commissariat à la protection de la vie privée du Canada dans le cadre de la consultation sur le consentement en vertu de la LPRPDE.

Avertissement : Les opinions exprimées dans ce document sont celles des auteurs ou auteures et ne reflètent pas nécessairement celles du Commissariat à la protection de la vie privée du Canada. Comme ce mémoire a été fourni par une entité non assujettie à la Loi sur les langues officielles, il a été traduit de sa langue d’origine par le Commissariat à titre indicatif. En cas de divergence, veuillez consulter la version anglaise. Pour plus d’information sur la politique du Commissariat sur l’offre de contenu dans les deux langues officielles, vous pouvez consulter la page Conditions d’utilisation.


Sommaire

Au nom de ses membres, l’Association des banquiers canadiens (ABC)Note de bas de page 1 fournit des commentaires au sujet du document de discussion sur les améliorations possibles au consentement sous le régime de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), intitulé « Consentement et protection de la vie privée ».

L’industrie bancaire continue d’être un chef de file en matière d’innovation et d’adoption de nouvelles technologies, tout en favorisant l’établissement d’une relation de confiance et de confidentialité avec ses clients. La protection de la vie privée est la pierre angulaire de cette relation.

Nous souscrivons à l’énoncé, contenu dans le document de discussion, selon lequel le consentement « ne devrait pas faire obstacle à l’innovation ni priver les individus, les organisations et la société des avantages découlant du progrès technologique. » Depuis longtemps, les banques canadiennes mettent au point et adoptent de nouvelles technologies pour servir leurs clients. En regardant constamment vers l’avenir, les banques ont créé des carrefours d’innovation internes et travaillé en partenariat avec des organisations externes, dont des universités, des incubateurs et des entreprises de technologie, afin d’explorer et de concevoir des innovations et des solutions numériques en vue de les offrir à leurs clients. Nous estimons que quelques modifications à l’intérieur du cadre existant de la LPRPDE seraient suffisantes pour offrir une souplesse accrue aux organisations tout en leur permettant de veiller à ce que le droit à la vie privée de leurs clients soit respecté.

Les banques comprennent également la nécessité d’une gouvernance solide. L’industrie bancaire a été la première à ne plus se contenter de publier un simple énoncé des principes généraux relatifs à la protection de la vie privée; en effet, en 1987, elle s’est dotée d’un code détaillé en la matière. Depuis l’entrée en vigueur de la LPRPDE en 2001, les banques ont mis en œuvre des contrôles internes ainsi que des politiques et des procédures à l’appui, autant de mécanismes qu’elles tiennent à jour et ne cessent d’améliorer. Les banques canadiennes ont instauré un solide régime de gestion des risques, notamment en ce qui a trait aux risques liés à a conformité et à la réputation. Les banques sont tenues de respecter la ligne directrice E-13, Gestion de la conformité à la réglementation, du Bureau du surintendant des institutions financières, qui exige la mise en place d’un cadre pour cerner, évaluer, communiquer, gérer et atténuer le risque de non-conformité avec la réglementation (y compris avec la LPRPDE). En outre, les banques ont mis sur pied des procédures de gouvernance et de gestion de projet qui facilitent la protection de la vie privée à l’étape de la conception, c’est-à-dire au moment de l’élaboration de nouveaux produits et processus.

Nous sommes d’avis que, dans la plupart des cas, le cadre législatif actuel est efficace. La LPRPDE est fondée sur des principes et est neutre sur le plan technologique; elle peut donc continuer de fournir le cadre nécessaire pour les nouvelles technologies et les nouveaux modèles d’affaires, notamment en ce qui touche l’utilisation de mégadonnées. La LPRPDE établit un équilibre entre le droit à la vie privée des personnes et le besoin qu’ont les organisations de recueillir, d’utiliser et de communiquer des renseignements personnels. Le paragraphe 5(3) de la LPRPDE établit que l’organisation ne peut recueillir, utiliser ou communiquer des renseignements personnels qu’à des fins qu’une personne raisonnable estimerait acceptables dans les circonstances.

Toutefois, à mesure que l’utilisation et le traitement des données personnelles se diversifient et se complexifient, il peut devenir plus difficile de fournir aux clients des moyens clairs et simples leur permettant de comprendre la façon dont leurs données personnelles seront utilisées et de décider du moment où ils souhaitent retirer leur consentement, s’il y a lieu. Le cadre existant de la LPRPDE, avec quelques modifications, peut être utilisé pour permettre l’évolution du modèle de consentement. L’ABC suggère ce qui suit :

  • le consentement ne devrait être que l’un des fondements juridiques à appliquer pour le traitement des renseignements personnels (à l’instar de ce qui est prévu aux termes du Règlement général sur la protection des données de l’Union européenne);
  • on pourrait modifier l’article 7 de la LPRPDE en y ajoutant des exceptions permettant aux organisations de traiter les renseignements personnels pour des intérêts commerciaux légitimes et une utilisation uniforme;
  • on pourrait, afin de mieux refléter l’environnement actuel, modifier la définition de la notion de « renseignements auxquels le public a accès » dans les dispositions applicables de manière à ce qu’elle englobe tous les cas où les personnes choisissent de rendre leurs renseignements accessibles au public;
  • certains principes de la LPRPDA pourraient être réexaminés. On pourrait notamment fournir une orientation sur le principe 4.3.3 afin de permettre une application élargie de la notion de « fins légitimes » à l’appui des progrès technologiques.

Nous sommes en faveur d’un agencement des solutions décrites dans le document. Outre les modifications à la LPRPDE qui permettraient l’utilisation de fondements légitimes autres que le consentement pour le traitement des données, nous appuierions l’élaboration de codes de pratiques. En effet, des codes de pratiques fondés sur l’activité, plutôt que des codes distincts pour chaque secteur de l’industrie, pourraient fournir une orientation utile sur certaines questions, comme la désidentification.

Le Commissariat à la protection de la vie privée du Canada (le Commissariat) est bien placé pour effectuer une surveillance efficace en ce qui a trait aux règles (nouvelles ou améliorées) liées au consentement. Il possède déjà de vastes pouvoirs en matière de surveillance et d’application de la loi, dont celui de mener des vérifications concernant les politiques et pratiques des organisations au chapitre de la protection de la vie privée et celui de conclure des ententes de conformité avec diverses organisations. Le Commissariat peut également fournir une orientation pertinente à l’industrie. Nous ne croyons pas qu’il faille donner des pouvoirs supplémentaires au Commissariat en ce qui touche la mise en œuvre de nouveaux mécanismes à l’appui du modèle de consentement.

Ces points de vue sont expliqués plus en détail ci-après, dans nos réponses aux questions posées dans le document.

La version intégrale est disponible dans les langues suivantes :

Anglais (document HTML)

Remarque : Comme ce mémoire a été soumis par une entité non assujettie à la Loi sur les langues officielles, la version intégrale n’est disponible que dans la langue dans laquelle il a été rédigé.

Date de modification :