Consultation sur le cadre de protection des consommateurs de produits et services financiers du Canada

Mémoire du Commissariat à la protection de la vie privée du Canada à l'intention du Ministère des Finances Canada

Le 28 février 2014

Madame Jane Pearse
Directrice, Division des institutions financières
Direction de la politique du secteur financier
Ministère des Finances du Canada
15^e étage, tour Est
140, rue O’Connor
Ottawa (Ontario) K1A 0G5

Madame,

Objet : Consultation sur le cadre de protection des consommateurs de produits et services financiers du Canada

Le 3 décembre 2013, le ministère des Finances du Canada a rendu publiques les questions de la consultation visant à connaître le point de vue des Canadiennes et des Canadiens sur les éléments qui pourraient renforcer le cadre de protection des consommateurs de produits et de services financiers du Canada^{Note de bas de page 1}.
Le Commissariat à la protection de la vie privée du Canada dépose le présent mémoire en tant que partie intéressée à la procédure, en vertu du mandat^{Note de bas de page 2} que lui confère la loi de protéger le droit des personnes à la vie privée et de promouvoir les mesures de protection de la vie privée mises à la disposition des Canadiennes et des Canadiens^{Note de bas de page 3}.
Nos commentaires se limiteront aux enjeux qui relèvent de notre mandat. Selon nous, l’élaboration d’un cadre au contenu exhaustif pour les consommateurs de produits et de services financiers devrait reposer sur des principes qui prennent en compte la loi fédérale qui protège les renseignements personnels dans le secteur privé – la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) – et qui appuient le respect de cette loi.
Dans le Plan d’action économique de 2013, le gouvernement fédéral fait état de son intention d’élaborer un code au contenu exhaustif pour les consommateurs de produits et de services financiers, et il réitère l’importance de ce type de code dans le Plan d’action économique de 2014. À notre avis, la protection des renseignements personnels est un élément clé de la protection des consommateurs de produits et de services financiers et elle permet d’améliorer la protection globale des renseignements financiers personnels des Canadiens.
Le présent mémoire comprend les sections suivantes :
- aperçu de la LPRPDE et analyse des mesures de protection en place sous le régime de cette loi;
- établissement d’un ensemble exhaustif de principes de protection des consommateurs;
- améliorations pouvant être apportées au cadre actuel;
- poursuite du dialogue grâce à la mobilisation.

Aperçu de la LPRPDE et analyse des mesures de protection en place sous le régime de cette loi

Le Commissariat a pour mandat de surveiller le respect de la Loi sur la protection des renseignements personnels, qui régit les pratiques de gestion des renseignements personnels des ministères et organismes fédéraux, et de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), loi fédérale qui protège les renseignements personnels dans le secteur privé au Canada. La LPRPDE s’applique aux organisations qui recueillent, utilisent ou communiquent les renseignements personnels d’individus dans le cadre d’activités commerciales. Elle ne vise pas les organisations en activité dans les provinces ayant adopté des lois jugées essentiellement similaires sur la protection des renseignements personnels dans le secteur privé, c’est-à-dire, au moment du dépôt du présent mémoire, la Colombie Britannique, l’Alberta et le Québec. Pour leur part, les provinces de l’Ontario, du Nouveau Brunswick et de Terre Neuve et Labrador ont elles aussi adopté des lois essentiellement similaires, mais celles-ci se limitent aux pratiques de gestion des renseignements personnels sur la santé adoptées par les dépositaires de l’information sur la santé dans leur province respective.
La LPRPDE s’applique toutefois aux « entreprises fédérales » de partout au pays, notamment aux banques énumérées aux annexes I et II de la Loi sur les banques. En ce qui concerne les entreprises fédérales, la LPRPDE protège les renseignements personnels concernant tant les clients que les employés. Elle s’applique également au transfert interprovincial ou international de renseignements personnels dans le cadre d’activités commerciales.
L’annexe 1 de la LPRPDE^{Note de bas de page 4}, qui fournit le cadre pour la collecte, l’utilisation et la communication de renseignements personnels par les organisations assujetties à la Loi, énonce 10 principes relatifs à l’équité dans le traitement de l’information. Ces principes sont fondés sur le Code type sur la protection des renseignements personnels de l’Association canadienne de normalisation (élaboré à l’origine par un groupe d’intervenants clés, dont certains étaient issus du secteur financier). Ces principes orientent la façon dont les organisations assujetties à la LPRPDE doivent traiter les renseignements personnels. En outre, la Loi offre des recours aux particuliers si une organisation ne respecte pas ces principes.
La LPRPDE régit la collecte, l’utilisation et la communication de renseignements personnels dans le cadre d’activités commerciales, peu importe la technologie utilisée. Elle n’impose aucune exigence particulière à des secteurs précis, mais s’applique plutôt aux organisations de tous les secteurs de l’industrie, y compris les institutions financières.

Établissement d’un ensemble exhaustif de principes de protection des consommateurs

Les Canadiennes et les Canadiens se préoccupent grandement de la protection de leurs renseignements personnels. En fait, selon une étude commandée par le Commissariat, les renseignements financiers personnels figurent en tête de liste de leurs préoccupations. Lorsqu’on leur a demandé de nommer les risques d’atteinte à leur vie privée qui les préoccupaient le plus, les risques liés à l’information financière et à la fraude bancaire sont arrivés en tête – ils ont été cités par 23 % des répondants. La fraude par carte de crédit préoccupait quant à elle 10 % des répondants^{Note de bas de page 5}.
La protection des renseignements personnels des Canadiennes et des Canadiens, y compris de leurs renseignements financiers, constitue un élément dont il importe de tenir compte au moment d’envisager la mise en place de mesures de protection des consommateurs de produits et services financiers de vaste portée. En outre, tout engagement réel envers une vaste protection des consommateurs passe par la reconnaissance de la LPRPDE en tant qu’exigence législative minimale à respecter.
La plus grande proportion des plaintes déposées devant le Commissariat par des particuliers concerne habituellement des organisations du secteur financier. Ces plaintes portent sur des enjeux qui sont directement liés à la protection des renseignements financiers. À cet égard, le Commissariat a joué un rôle clé dans la protection des renseignements financiers des consommateurs en rendant publics un certain nombre de rapports de conclusions et de vérification sur des questions comme :
- l’utilisation et la communication de renseignements personnels, notamment la communication des renseignements personnels d’un individu à des membres de sa famille sans son consentement^{Note de bas de page 6};
- l’exactitude des renseignements personnels concernant un particulier, par exemple, une cote de solvabilité erronée^{Note de bas de page 7};
- l’accès non autorisé aux comptes de consommateurs par des employés d’une institution financière^{Note de bas de page 8};
- la communication de renseignements superflus au Centre d’analyse des opérations et déclarations financières du Canada par les organisations^{Note de bas de page 9};
- l’absence de délais établis en ce qui a trait à la conservation de certains documents par le Centre d’analyse des opérations et déclarations financières du Canada^{Note de bas de page 10}.
Le Commissariat est conscient du fait que le commerce international et l’innovation stimulent la croissance économique. Cela dit, pour bénéficier d’un avantage concurrentiel, les entreprises doivent respecter non seulement les relations qu’elles entretiennent avec les consommateurs, mais aussi les renseignements personnels de ces derniers. Le respect des obligations en matière de droit à l’information et à la vie privée joue un rôle de premier plan dans l’établissement d’un lien de confiance et favorise par le fait même une participation accrue des consommateurs à l’économie numérique.
Advenant que le gouvernement adopte un ensemble de principes régissant la protection des consommateurs de produits et de services financiers, le Commissariat lui recommande respectueusement de prendre en compte l’importance fondamentale du respect de la législation qui protège les renseignements personnels.
L’économie du Canada repose sur le commerce et la circulation de l’information. Compte tenu de la mondialisation de l’activité économique et des avancées technologiques, les enjeux relatifs à la protection de la vie privée constituent un volet de plus en plus important du cadre de protection des consommateurs dans son ensemble. La portée et l’envergure de la collecte de renseignements personnels des Canadiennes et des Canadiens par les organisations sont considérables et les répercussions des mégadonnées^{Note de bas de page 11}, du suivi du comportement en ligne et de l’infonuagique constituent à la fois une source de possibilités et de défis pour les organisations.
L’innovation peut mener à l’adoption de nouveaux modèles opérationnels conçus pour présenter des avantages pour les consommateurs et les organisations. Toutefois, les défis découlant des technologies complexes et de la présence de tiers apparemment invisibles participant à des transactions commerciales soulèvent également des préoccupations sur le plan de la protection des renseignements personnels (particulièrement dans l’écosystème en constante évolution des systèmes de paiement).
Les organisations peuvent soulager ces préoccupations en démontrant proactivement, par le biais d’une évaluation des facteurs relatifs à la vie privée, leur volonté de protéger les renseignements personnels des consommateurs. La réalisation d’une évaluation des facteurs relatifs à la vie privée au début d’une initiative ou d’un nouveau programme, ou avant la mise en œuvre d’une nouvelle technologie, peut permettre de cerner les risques potentiels pour la vie privée et d’établir des mesures d’atténuation visant à protéger les renseignements personnels financiers des consommateurs.
Dans ce contexte, il est important que les organisations adoptent des mesures de protection des renseignements personnels dès la conception de nouveaux programmes ou initiatives^{Note de bas de page 12}. Une innovation responsable passe par l’élaboration d’un solide programme de respect de la vie privée qui englobe notamment la reddition de comptes et la protection des renseignements des consommateurs contre les risques accrus d’atteinte à la sécurité des renseignements personnels.
À cette fin, le Commissariat à la protection de la vie privée du Canada et les commissariats à l’information et à la protection de la vie privée de l’Alberta et de la Colombie-Britannique ont collaboré en vue de la production d’un document d’orientation sur l’élaboration de programmes de gestion de la vie privée et de mesures visant à protéger les renseignements personnels. Ce document peut aider les institutions financières à s’acquitter de leurs obligations envers les consommateurs^{Note de bas de page 13}.
Des politiques imprécises et ambiguës sur la protection des renseignements personnels peuvent être une source de confusion pour les individus et empêcher les consommateurs de prendre des décisions éclairées concernant leurs renseignements financiers personnels, particulièrement dans l’environnement en ligne ou mobile. La transparence des politiques sur la protection des renseignements personnels des organisations et le consentement valable constituent deux principes et exigences clés en matière de protection de la vie privée sous le régime de la LPRPDE^{Note de bas de page 14}.
Compte tenu de l’importance que revêtent les renseignements personnels dans l’économie numérique et de la nature sensible des renseignements financiers aux yeux des Canadiennes et des Canadiens, nous recommandons vivement que tout nouveau principe de protection des consommateurs de produits et de services financiers renvoie expressément aux obligations découlant de la LPRPDE et aux principes énoncés à l’annexe 1 de cette loi.

Améliorations pouvant être apportées au cadre actuel

En tant que loi d’application générale, la LPRPDE vise tous les secteurs de l’industrie et elle est fondée sur des principes, en plus d’être neutre sur le plan technologique. Ces points forts du cadre de protection des renseignements personnels dans le secteur privé au Canada jouent un rôle de premier plan dans la protection des renseignements financiers personnels des consommateurs, à plus forte raison face à l’émergence de nouvelles technologies et à l’innovation dans le domaine technologique.
Afin de répondre aux enjeux d’aujourd’hui et à ceux de demain, le régime canadien de protection de la vie privée actuel doit être modifié de façon à tenir compte des nouveaux risques découlant des technologies émergentes. Les améliorations apportées en ce qui a trait à la protection globale des droits des consommateurs doivent s’accompagner de mesures visant à assurer un meilleur respect du droit à la vie privée.
Une modernisation de la LPRPDE s’impose pour protéger efficacement les renseignements personnels des consommateurs dans le contexte de l’évolution rapide des technologies de l’information.
La mise à jour de la législation fédérale sur la protection des renseignements personnels dans le secteur privé permettrait de renforcer la confiance et d’appuyer ainsi l’innovation et l’activité économique au niveau national et international. Cette mesure contribuerait à son tour à appuyer les améliorations au régime actuel de protection des renseignements personnels des consommateurs de produits et de services financiers.
L’an dernier, le Commissariat a recommandé des modifications visant à moderniser la LPRPDE^{Note de bas de page 15}, à relever des défis actuels et éventuels relatifs à la protection des renseignements personnels et à accroître la confiance des Canadiennes et des Canadiens dans l’économie numérique. Il a notamment recommandé :
- de renforcer les pouvoirs en matière d’application de la loi;
- d’améliorer la transparence et les mécanismes de reddition de comptes;
- d’obliger les organisations à signaler les atteintes à la vie privée.
Si elles étaient mises en œuvre, ces modifications pourraient selon nous fournir les incitatifs nécessaires pour renforcer le respect de la vie privée dans le cadre d’un régime amélioré de protection des renseignements personnels des consommateurs de produits et de services financiers.

Poursuite du dialogue grâce à la mobilisation

Compte tenu de la complexité des modèles opérationnels en place dans l’environnement actuel, y compris les modèles des services financiers, le Commissariat est d’avis qu’une participation active de tous les intervenants concernés est essentielle pour l’élaboration d’un cadre au contenu exhaustif pour les consommateurs de produits et de services financiers, ainsi que pour la promotion de ce cadre.
Pour assurer une participation significative de la part des intervenants, un code ou un cadre efficace, viable et de longue durée bénéficierait de la participation d’un large éventail de décideurs, comme ce fut le cas pour le Code type sur la protection des renseignements personnels de l’Association canadienne de normalisation, dont s’inspire la LPRPDE.
Conformément au mandat d’éducation et de sensibilisation du public que lui confère la LPRPDE, le Commissariat a entrepris des activités de mobilisation auprès d’un large éventail d’intervenants afin de promouvoir une sensibilisation efficace des consommateurs et des organisations au droit à la vie privée et aux obligations en la matière.
Par exemple, le Commissariat collabore régulièrement avec ses homologues provinciaux et territoriaux et a élaboré avec eux un document d’orientation sur l’infonuagique^{Note de bas de page 16} et les applications mobiles.^{Note de bas de page 17} En outre, nous collaborons avec nos homologues d’autres pays pour promouvoir le dialogue sur des questions émergentes et avons participé à la formulation de résolutions internationales, par exemple celle sur la coopération internationale qui vise à renforcer la protection des données dans le monde entier^{Note de bas de page 18}. Par ailleurs, le Commissariat a un bureau à Toronto, qui participe à des activités de liaison avec les intervenants en collaboration avec des groupes industriels dans la région du Grand Toronto.
Ces activités, tout comme la participation du Commissariat au Comité interministériel sur la littératie financière de l’Agence de la consommation en matière financière du Canada, sont des exemples d’initiatives de mobilisation des intervenants menées par le Commissariat pour promouvoir le dialogue sur la protection de la vie privée dans le but de mieux protéger les renseignements personnels des particuliers et des consommateurs.
Nous vous encourageons à examiner des stratégies de mobilisation qui font appel à des intervenants du domaine de la protection des renseignements personnels, y compris le Commissariat, en tant que parties prenantes de la stratégie de mobilisation en vue de l’établissement d’un cadre général de protection des consommateurs de produits et de services financiers.

Conclusion

Les organisations, y compris celles qui offrent des services financiers, adoptent des modèles opérationnels de plus en plus complexes où les modes d’utilisation des renseignements financiers personnels des consommateurs nous forcent à remettre en question les normes traditionnelles de protection de la vie privée.
C’est pourquoi le Commissariat souligne respectueusement que la reconnaissance du droit à la vie privée et la promotion du respect des obligations qui s’y rapportent font partie intégrante d’un cadre au contenu exhaustif pour les consommateurs de produits et de services financiers.
Le Commissariat serait heureux de discuter des opinions exprimées dans le présent mémoire et du rôle de la protection de la vie privée dans un cadre de protection des consommateurs de produits et services financiers au moment qui vous conviendra.
Je vous prie d’agréer, Madame, l’expression de mes sentiments les plus distingués.

La commissaire à la protection de la vie privée du Canada par intérim,

Document original signé par

Chantal Bernier

Note de bas de page 1

Ministère des Finances du Canada. Cadre de protection des consommateurs de produits et services financiers du Canada : Document de consultation, le 3 décembre 2013.

Retour à la référence de la note de bas de page 1

Note de bas de page 2

Mandat et mission du Commissariat à la protection de la vie privée du Canada.

Retour à la référence de la note de bas de page 2

Note de bas de page 3

En vertu de la Loi sur la protection des renseignements personnels (L.R.C., 1985, ch. P-21) – et de la Loi sur la protection des renseignements personnels et les documents électroniques (L.C. 2000, ch. 5) –

Retour à la référence de la note de bas de page 3

Note de bas de page 4

Loi sur la protection des renseignements personnels et les documents électroniques (L.C. 2000, ch. 5).

Retour à la référence de la note de bas de page 4

Note de bas de page 5

Sondage auprès des Canadiens sur les enjeux liés à la protection de la vie privée – Rapport final, rapport préparé pour le Commissariat à la protection de la vie privée du Canada par Phoenix Strategic Perspectives Inc., janvier 2013.

Retour à la référence de la note de bas de page 5

Note de bas de page 6

Commissariat à la protection de la vie privée du Canada. Résumé de conclusions d’enquête en vertu de la LPRPDE n^o 2003 156 : Le nom du mari paraît sur le relevé de la marge de crédit de sa conjointe.

Retour à la référence de la note de bas de page 6

Note de bas de page 7

Commissariat à la protection de la vie privée du Canada. Rapport des conclusions en vertu de la LPRPDE n^o 2013 008 : Une personne contexte l’exactitude de sa cote de solvabilité en temps réel.

Retour à la référence de la note de bas de page 7

Note de bas de page 8

Commissariat à la protection de la vie privée du Canada. Résumé de conclusions d’enquête en vertu de la LPRPDE 2003 212 : Une employée d’une banque accède indûment au compte d’un client.

Retour à la référence de la note de bas de page 8

Note de bas de page 9

Commissariat à la protection de la vie privée du Canada, Vérification de 2013 du Centre d’analyse des opérations et déclarations financières du Canada.

Retour à la référence de la note de bas de page 9

Note de bas de page 10

Ibid.

Retour à la référence de la note de bas de page 10

Note de bas de page 11

Les « mégadonnées » peuvent être définies comme un ensemble de grandes quantités de données associé à des systèmes algorithmiques utilisés aux fins de prise de décisions ou d’analyse. Les mégadonnées constituent maintenant un enjeu important dans les milieux des affaires, de la technologie et de la protection des renseignements personnels. En effet, les systèmes de plus en plus perfectionnés permettant de faire des inférences à partir des données sont à l’origine de la collecte de quantités accrues de données, souvent plus détaillées.

Retour à la référence de la note de bas de page 11

Note de bas de page 12

Resolution on Privacy by Design, résolution adoptée à la 32^e Conférence internationale des commissaires à la protection des données et de la vie privée, octobre 2010.

Retour à la référence de la note de bas de page 12

Note de bas de page 13

Commissariat à la protection de la vie privée du Canada, Office of the Information and Privacy Commissioner of Alberta et Office of the Information and Privacy Commissioner for British Columbia. Un programme de gestion de la protection de la vie privée : la clé de la responsabilité.

Retour à la référence de la note de bas de page 13

Note de bas de page 14

Voir le document intitulé Résultats du ratissage 2013 d’Internet pour la protection de la vie privée du Global Privacy Enforcement Network.

Retour à la référence de la note de bas de page 14

Note de bas de page 15

Commissariat à la protection de la vie privée du Canada. Arguments en faveur de la réforme de la Loi sur la protection des renseignements personnels et les documents électroniques – /parl/2013/pipeda_r_201305_f.asp – et Commissariat à la protection de la vie privée du Canada, Office of the Information and Privacy Commissioner of Alberta et Office of the Information and Privacy Commissioner for British Columbia. Une occasion à saisir : Développer des applis mobiles dans le respect du droit à la vie privée

Retour à la référence de la note de bas de page 15

Note de bas de page 16

Commissariat à la protection de la vie privée du Canada, Office of the Information and Privacy Commissioner of Alberta et Office of the Information and Privacy Commissioner for British Columbia. L’infonuagique pour les petites et moyennes entreprises : Responsabilités et points importants touchant la protection des renseignements personnels.

Retour à la référence de la note de bas de page 16

Note de bas de page 17

Commissariat à la protection de la vie privée du Canada, Office of the Information and Privacy Commissioner of Alberta et Office of the Information and Privacy Commissioner for British Columbia. Une occasion à saisir : Développer des applis mobiles dans le respect du droit à la vie privée.

Retour à la référence de la note de bas de page 17

Note de bas de page 18

Resolution on Privacy Enforcement and Co-ordination at the International Level, résolution adoptée à la 33^e Conférence internationale des commissaires à la protection des données et de la vie privée, novembre 2011.

Retour à la référence de la note de bas de page 18

Date de modification :: 2014-03-11

Sélection de la langue

Recherche et menus

Recherche