La LPRPDE et la protection de la vie privée dans les secteurs financiers réglementés

Cette page Web a été archivée dans le Web

L’information dont il est indiqué qu’elle est archivée est fournie à des fins de référence, de recherche ou de tenue de documents. Elle n’est pas assujettie aux normes Web du gouvernement du Canada et elle n’a pas été modifiée ou mise à jour depuis son archivage. Pour obtenir cette information dans un autre format, veuillez communiquer avec nous.

Commentaires lors du Forum conjoint des autorités de réglementation du marché financier

Toronto, Ontario
le 25 mars 2009

Allocution prononcée par Elizabeth Denham,
Commissaire adjointe à la protection de la vie privée du Canada

(La version prononcée fait foi)


Introduction

Je vous remercie, Bob Christie, pour cette gentille présentation.

Je suis ravie d’être ici cet après-midi. J’apprécie cette invitation à prendre part à votre repas et à vos discussions sur la protection de la vie privée.

Tout d’abord, j’aimerais vous souhaiter, au nom de Jennifer Stoddart, commissaire à la protection de la vie privée du Canada, une belle conférence et un échange d’idées stimulant.

Je sais qu’à titre d’autorités de réglementation dans vos domaines respectifs, vous rendez tous un fier service au peuple canadien. En ces temps d’incertitude économique, tout particulièrement, les Canadiennes et les Canadiens ont besoin de savoir que leur pension, leurs assurances et leurs valeurs mobilières sont protégées par un cadre de réglementation efficace.

Toutefois, aux yeux des Canadiennes et des Canadiens, la protection de la vie privée compte autant que leurs intérêts financiers, puisque celle-ci constitue un droit fondamental qui en sous-tend d’autres, comme l’autonomie individuelle, la liberté de réunion et la liberté d’expression.

En bref, la protection de la vie privée correspond au droit des personnes de conserver un certain pouvoir sur leurs renseignements personnels.

Ainsi, même en sachant que vos rôles d’autorités de réglementation n’exigent pas de collecte de renseignements personnels au quotidien, je crois qu’il est important que vous compreniez comment les lois sur la protection des renseignements personnels influent sur  les organismes que vous réglementez.

Les entreprises doivent souvent parvenir à un équilibre complexe en ce qui concerne la myriade d’exigences réglementaires auxquelles elles sont assujetties. Ces organismes recueillent et gèrent aussi une importante quantité de renseignements personnels de nature délicate, et ne peuvent donc, en aucun cas, faillir à la tâche.

Défi

Permettez-moi d’abord de vous mettre en contexte.

Je crois que nous pouvons convenir que, de nos jours, la vie privée est de plus en plus menacée.

D’une part, la protection de la vie privée est menacée par la technologie, puisque cette dernière permet de repérer n’importe qui n’importe où et de profiter d’un accès sans précédent à nos renseignements personnels. Nos empreintes digitales croissent de façon exponentielle. L’ère d’Internet a suffi à créer une toute nouvelle génération de voleurs d’identité et d’autres escrocs.

D’autre part, la protection de la vie privée peut, indirectement, être compromise lorsque les gouvernements cherchent à régler certains problèmes, comme la cybercriminalité et les atteintes à la sécurité nationale.

Une recherche effectuée par l’Université Carnegie Mellon a démontré que les acheteurs en ligne sont prêts à payer une prime pour protéger leurs renseignements personnels. En  moyenne, les personnes étaient prêtes à payer un montant supplémentaire de 0,60 $ sur un achat de 15 $ lorsqu’elles étaient satisfaites de la politique de confidentialité du vendeur.

D’un point de vue commercial, la protection de la vie privée des consommateurs et des clients constitue une bonne stratégie commerciale parce que le coût associé à l’inaction – en ce qui concerne la réparation des torts causés par des atteintes à la sécurité des données et le rétablissement de la réputation d’une entreprise – peut s’avérer plus élevé que celui d’un investissement dans des mesures de protection de la vie privée. La réputation d’une entreprise et la confiance envers une marque sont essentielles dans le marché actuel.

Vue d’ensemble

Dans ce contexte, j’aimerais vous offrir une vue d’ensemble, cet après-midi, des lois qui régissent la protection de la vie privée et des renseignements personnels dans le secteur privé. Je veux vous présenter le contexte et les modalités d’application de ces lois, ainsi que vous fournir des exemples concrets de leur mise en pratique.

Commençons par une histoire à propos d’un homme qui est en arrêt de travail en raison d’un congé d'invalidité de longue durée.

Un jour, on sonne à sa porte. L’étranger qui se trouve devant lui le remercie d’avoir répondu à un sondage téléphonique et lui offre gratuitement un magazine en guise de récompense.

L’homme, à son tour, remercie l’étranger pour le magazine, puis retourne vaquer à ses occupations.

Plus tard, il apprend que cette brève et banale rencontre a été filmée par une caméra cachée dans le cadre des démarches de surveillance secrète d’un détective privé.

Le détective avait été embauché par une compagnie d’assurance convaincue que l’homme exagérait son affection. L’homme, fâché, a porté plainte au Commissariat pour atteinte à la vie privée.

Est-ce bien un cas d’atteinte à la vie privée?

Après avoir soupesé tous les faits de cette affaire, nous avons établi que l’homme avait raison de porter plainte. À notre avis, la compagnie d’assurance avait violé un principe clé de la protection de la vie privée en recueillant plus de renseignements qu’elle en avait réellement besoin pour arriver aux fins prévues dans le cadre de leurs activités particulières.

Nous avons conclu qu’il existait des techniques moins envahissantes pour confirmer l’identité de la personne faisant l’objet de l’enquête que de la photographier clandestinement à domicile.

Survol de la LPRPDE

En moyenne, le Commissariat à la protection de la vie privée traite plus de 400 plaintes comme celle-ci annuellement, en vertu de la LPRPDE, ou Loi sur la protection des renseignements personnels et les documents électroniques.

Cette loi, qui régit la protection des renseignements personnels dans le secteur privé, est entrée pleinement en vigueur en 2004. Elle s’applique aux organismes qui recueillent, utilisent et communiquent des renseignements personnels dans le cadre d’activités commerciales.

La LPRPDE s’applique à pratiquement toutes les entreprises commerciales au Canada, y compris celles des trois secteurs assujettis à vos réglementations. Les seules exceptions sont les entreprises sous réglementation provinciale en Alberta, en Colombie-Britannique et au Québec, puisque ces provinces ont adopté des lois essentiellement similaires à la LPRPDE.

En vertu de la LPRPDE, les organismes doivent recueillir, utiliser ou communiquer les renseignements personnels des gens de façon honnête et licite, avec leur consentement, et uniquement à des fins qui sont déclarées et raisonnables.

Les organismes doivent également protéger les renseignements au moyen de mesures de sécurité appropriées et les détruire lorsqu’ils ne servent plus aux fins prévues dans le cadre de leurs activités particulières.

En vertu de la LPRPDE, les consommateurs ont le droit de s’attendre à ce que les renseignements personnels que les organismes détiennent à leur endroit soient exacts, complets et à jour. Pour ce faire, ils ont le droit de consulter ces renseignements et d’exiger des corrections s’ils croient qu’une donnée est fausse ou incomplète.

Participation du CPVP

Si quelqu’un pense qu’une entreprise ne respecte pas les exigences énoncées dans la LPRPDE, il peut porter plainte au Commissariat à la protection de la vie privée et nous devrons faire enquête.

Puisque la commissaire à la protection de la vie privée est, principalement, une ombudsman, notre approche consiste à tenter de résoudre les conflits par voie de négociation.

Nous ne détenons pas de pouvoir direct d’exécution de la loi, mais si une entreprise refuse de donner suite à nos recommandations, nous avons le pouvoir de solliciter une ordonnance exécutoire de la Cour fédérale.

Heureusement, pratiquement tout le monde applique nos recommandations. En fait, en moyenne, moins de 10 cas par année font l’objet de litiges.

Par ailleurs, nous tentons d’éviter les situations qui peuvent mener à des plaintes, notamment grâce à des initiatives de sensibilisation du public, au financement de la recherche sur la protection de la vie privée, à la consultation de groupes industriels et à la vérification d’entreprises pour confirmer qu’elles respectent la loi.

Présentation des enjeux

Le Commissariat enquête sur des cas concernant des entreprises de vos secteurs d’activité, mais en général, davantage d’enjeux sont soulevés dans l’industrie de l’assurance que dans les deux autres secteurs.

Cette réalité s’explique par le fait que dans l’industrie de l’assurance, on traite souvent de renseignements personnels hautement confidentiels, comme des dossiers médicaux. La relation entre l’assureur et le demandeur peut également devenir difficile. L’assureur peut aussi avoir recours à des détectives privés, à la surveillance secrète et à d’autres méthodes de collecte de renseignements, ce qui peut soulever des enjeux en matière de protection de la vie privée.

Comme je le mentionnais précédemment, la technologie d’aujourd’hui ajoute de nouvelles dimensions au processus de collecte de renseignements.

Par exemple, beaucoup de nouveaux véhicules sont dotés de « boîtes noires », ou enregistreurs de données, qui captent l’information relative aux accidents, comme la vitesse du véhicule, l’application des freins ou l’utilisation des ceintures de sécurité. De telles données servent maintenant de preuves utilisées par plusieurs organisations lors de procès.

Les données captées par les boîtes noires peuvent constituer des renseignements personnels du conducteur et donc être assujetties à la LPRPDE. Toutefois, puisque la plupart des personnes ignorent la présence de tels dispositifs dans leur véhicule, elles peuvent difficilement consentir à l’utilisation des données qu’ils contiennent.

Information et consentement

Dans le cadre de la LPRPDE, l’information et le consentement font partie des principaux enjeux que nous devons aborder.

Comme nous l’avons affirmé à maintes reprises dans nos conclusions, les entreprises sont tenues d’indiquer clairement aux consommateurs pourquoi et comment elles recueillent, utilisent et communiquent leurs renseignements personnels, ainsi que de restreindre leur collecte aux renseignements nécessaires aux fins mentionnées.

Il y a deux ans, nous avons résolu une plainte d’un homme qui alléguait, après s’être fait voler des bijoux et de l’argent, que l’expert en assurance chargé de son dossier exigeait davantage de renseignements que le simple relevé des dommages.

En effet, l’expert demandait aussi à l’homme de remplir un formulaire de consentement à la collecte de renseignements personnels, qui exigeait toutes sortes d’autres renseignements, comme son dossier médical, ses antécédents en matière de crédit, des renseignements relatifs à son emploi et même des déclarations de témoins.

Nous avons convenu avec le plaignant que le libellé utilisé était trop général et nous avons formulé des recommandations à l’expert, de même qu’aux groupes de l’industrie de l’assurance. L’expert a cessé d’utiliser le formulaire et l’a remplacé par deux formulaires distincts, un premier pour les demandes de règlement relatives aux biens et l’autre pour celles relatives aux blessures corporelles.

Surveillance secrète

En raison des enjeux touchant l’information et le consentement, le Commissariat préconise la prudence par rapport au recours à la surveillance secrète, une pratique utilisée par les employeurs et dans l’industrie de l’assurance.

La LPRPDE stipule que, de façon générale, toute personne doit être informée de toute collecte, utilisation ou communication de renseignements personnels qui la concernent et y consentir.

Il existe cependant des exceptions, comme lorsque des renseignements sont requis pour déceler des fraudes ou des actes illégaux, ou encore enquêter sur ceux-ci. Dans de tels cas, chercher à obtenir le consentement des personnes mises en cause pourrait s’avérer contre-productif.

Nous avons constaté que la surveillance secrète peut souvent s’avérer justifiable dans le domaine de l’assurance.

Dans d’autres cas, comme dans celui de l’homme pris en photo par un détective qui s’était présenté chez lui sous un faux prétexte, la surveillance secrète va trop loin.

Toutefois, il est difficile de fixer les limites. D’ailleurs, puisqu’il s’agit d’un enjeu si complexe, nous avons procédé à une consultation auprès des membres de l’industrie et nous préparons actuellement un document sur les pratiques exemplaires afin d’offrir des conseils et des lignes directrices utiles.

Limitation de la collecte

Selon un autre principe important de la LPRPDE, les organismes ne doivent recueillir que les renseignements personnels nécessaires aux fins prévues dans le cadre de leurs activités particulières.

La raison qui sous-tend ce principe est qu’une fois qu’ils ont recueilli les renseignements, ils doivent les protéger. Dès lors, ils s’exposent aux risques de perdre ou de se faire voler des renseignements, ainsi qu’à d’autres atteintes à la sécurité des données, sur lesquels nous nous pencherons dans un instant.

Savoir exactement quels renseignements recueillir n’est pas une tâche facile. D’ailleurs, voici un exemple survenu dans l’industrie des valeurs mobilières qui nous a permis de réfléchir à la question.

En 2006, un homme s’est plaint au Commissariat que son courtier en valeurs mobilières lui demandait trop de renseignements personnels.

Outre son numéro d’assurance sociale, le courtier lui a demandé des photocopies de deux pièces d’identité, dont une avec photo, en plus d’exiger une déclaration précisant s’il était ou non un initié, ou un actionnaire dominant d’une société cotée en bourse.

Après enquête, le Commissariat a noté que la réglementation des valeurs mobilières oblige les entreprises d’investissement à vérifier l’identité, la solvabilité et la réputation de chaque client.

Nous avons conclu, dans ce cas, que les renseignements demandés étaient réellement nécessaires à l’entreprise afin qu’elle respecte son obligation juridique de « connaître ses clients ».

CANAFE

Ce qu’un cas comme celui-ci nous révèle, c’est que de plus en plus de pressions s’exercent de toutes parts en ce qui a trait à la collecte de données et que l’une des sources principales de cette pression est la sécurité nationale.

Par exemple, la Loi sur le recyclage des produits de la criminalité et le financement des activités terroristes oblige beaucoup d’entreprises et de professionnels, y compris les banques, les casinos, les avocats, les courtiers immobiliers et les comptables, à recueillir des renseignements sur leurs clients et à les rapporter au CANAFE, ou Centre d'analyse des opérations et déclarations financières du Canada.

Le fait que certaines entreprises recueillent de trop grandes quantités de renseignements personnels en vertu de la loi est inquiétant. De plus, la loi demande également aux entreprises de se prononcer sur ce qui constitue des activités suspectes. Les entreprises devraient examiner attentivement les exigences législatives avant de mettre en œuvre de nouvelles pratiques de collecte de données.

Les défenseurs de la vie privée reconnaissent la nécessité de lutter contre le recyclage des produits de la criminalité et le financement des activités terroristes. Mais il faut atteindre un équilibre concernant les mesures ayant une large portée.

Heureusement, nous sommes en mesure de nous prononcer sur cette question. En vertu de la Loi, le Commissariat doit examiner le CANAFE tous les deux ans et faire état de ses résultats au Parlement.

Circulation transfrontalière des données

Un autre important aspect de la LPRPDE est qu’une fois qu’une entreprise a recueilli des renseignements personnels, elle doit en assurer leur protection. Il importe qu’elle comprenne bien la tâche de gestion des risques rattachée à cette obligation, qui ne fait que croître proportionnellement à la quantité de renseignements recueillis.

Cela s’avère déjà difficile si ses activités sont menées au Canada. Mais en cette ère d’impartition et de mondialisation, il est fort probable que les renseignements soient transmis à l’extérieur du pays à des fins de traitement.

La LPRPDE ne renferme pas de disposition interdisant la circulation transfrontalière des données, mais elle exige tout de même que les entreprises protègent les renseignements personnels qu’elles détiennent, même si l’utilisation de ces renseignements a été impartie au-delà des frontières canadiennes.

De plus, la LPRPDE oblige les entreprises à informer les consommateurs que leurs renseignements personnels pourraient être transmis à l’extérieur du pays, et que pendant que ces renseignements se trouvent à l’étranger, ils sont assujettis aux lois locales.

Ceci m’amène à vous parler de la USA PATRIOT Act, en vertu de laquelle les renseignements personnels des Canadiennes et des Canadiens transmis aux entreprises américaines peuvent être communiqués aux organismes gouvernementaux américains.

En 2007, nous avons procédé à une enquête à la suite d’une plainte déposée contre la SWIFT, ou Society for Worldwide Interbank Financial Telecommunication. Cette coopérative financière européenne offre des services de messagerie et des logiciels d’interface aux institutions financières de plus de 200 pays, y compris le Canada.

Le New York Times a révélé qu’à la suite des attentats du 11 septembre 2001, le département du Trésor des États-Unis a eu recours à des assignations administratives en vertu de la USA PATRIOT Act en vue d’accéder à des dizaines de milliers de dossiers de la SWIFT, y compris ceux de citoyens canadiens.

Néanmoins, le Commissariat a conclu que la SWIFT n’avait pas contrevenu à la LPRPDE en communiquant les renseignements personnels de Canadiennes et de Canadiens au département du Trésor des États-Unis parce que la société se conformait à des assignations légitimes émises à l’extérieur du Canada.

En bref, la SWIFT s’était conformée aux lois du pays dans lequel elle exerce ses activités.

La protection des renseignements personnels transmis à l’étranger constitue un enjeu complexe et nuancé. C’est pourquoi le Commissariat a récemment publié les Lignes directrices sur le traitement transfrontalier des données personnelles, un document d’orientation visant à aider les organismes à comprendre leurs obligations.

Atteintes à la vie privée

Avec, d’une part, toute cette pression exercée sur les organismes pour qu’ils recueillent des renseignements personnels et, d’autre part, l’immense puissance informatique qui rend cette collecte possible, il y aura toujours des risques que la situation aille mal… très mal.

Aux États-Unis, par exemple, le vol d’un seul portable appartenant au département des anciens combattants a suffi pour compromettre les dossiers de 26 millions d’anciens combattants. En 2007, les entreprises TJX ont fait face à une crise lorsqu’elles se sont fait voler l’incroyable montant de 98 millions de numéros de cartes de crédit et de débit, du jamais vu pour ce type d’atteinte à la sécurité de données.

Ici même, au Canada, un cas est survenu à la fin de 2006 quand la CIBC a tenté d’envoyer un disque dur externe de Montréal à Markham, en Ontario, au moyen d’un messager. Le disque dur contenait les renseignements personnels de plus de 400 000 clients ou anciens clients de la société de fonds communs de placement Talvest.

Malheureusement, le colis est arrivé à destination, mais sans le disque dur externe. Heureusement, à ce jour, rien ne montre que des données ont été compromises ou qu’on y a accédé indûment. En fait, personne ne sait avec certitude si le disque dur a même été placé dans le colis. On ne l’a jamais retrouvé.

Ainsi, même si des conséquences potentiellement fâcheuses ont été évitées, notre enquête a tout de même permis de tirer quelques leçons importantes.

Réactions aux atteintes à la vie privée

Nous avons conclu, par exemple, qu’un organisme ne peut se contenter de se doter de belles politiques et procédures de sécurité bien ficelées; il doit aussi les mettre en application, et ce, avec constance et diligence.

Cette démarche nécessite une formation continue de la direction et du personnel sur la protection de la vie privée afin de les sensibiliser à l’importance de la sécurité des données dans l’ensemble de l’organisme.

J’aimerais souligner que la protection des renseignements personnels est une responsabilité partagée par tous les membres d’une organisation.

En réalité, bien que des atteintes catastrophiques de l’ampleur du cas des entreprises TJX retiennent toute l’attention des médias, les atteintes à la vie privée les plus fréquentes proviennent d’incidents anodins, comme une télécopie, une lettre ou un courriel envoyé au mauvais destinataire.

Une analyse triennale du Commissariat a permis de constater que de telles erreurs commises au quotidien constituent 36 % des atteintes à la vie privée. Une autre proportion de 26 % des atteintes provient de la consultation ou de la communication non autorisée de renseignements personnels, généralement par un employé ou un entrepreneur. Le reste des cas correspond à la perte de matériel comme un disque dur contenant des données chiffrées, où il est difficile de déterminer si des renseignements personnels ont bel et bien été communiqués.

Puisque la plupart des atteintes résultent d’erreurs banales sans grande technicité, les solutions les plus efficaces sont bien souvent tout aussi simples, comme la promotion, auprès des employés, du soin et du respect des renseignements personnels qui leur sont confiés.

Avis d’incident

Parallèlement, les processus entourant l’avis d’incident lié à la protection des renseignements personnels constituent un autre élément tout aussi essentiel.

Le Commissariat a affirmé que si un organisme soupçonne un incident tel un vol de renseignements personnels, il devrait en informer la police le plus tôt possible afin d’éviter que les éléments de preuve ne deviennent périmés ou ne soient corrompus.

De même, l’organisme doit faire preuve de la même rigueur dans la communication de ce type d’incident aux clients touchés.

Un des cas examinés l’année dernière concernait le vol d’un portable contenant les renseignements personnels de plus de 870 clients d’une banque. Mis à part les mesures de sécurité insuffisantes qui, normalement, auraient dû empêcher un voleur de quitter les lieux avec le portable, la plaignante reprochait à la banque d’avoir attendu trois mois avant de l’aviser de l’atteinte. Selon elle, cette période augmentait les risques que ses renseignements personnels soient utilisés à des fins criminelles.

Dans nos conclusions, nous avons recommandé vivement aux institutions de faire preuve d’initiative et de franchise lorsqu’elles doivent signaler une atteinte à la vie privée à leurs clients. En 2007, nous avons élaboré des lignes directrices sur la notification volontaire des atteintes à la protection de la vie privée en collaboration avec l’industrie et les organisations des secteurs financier et du commerce de détail nous signalent des atteintes et nous demandent notre avis fréquemment.

J’en profite pour mentionner que le gouvernement étudie actuellement la possibilité de modifier la LPRPDE de manière à ce que les organismes soient obligés de signaler toute atteinte importante à la sécurité des données au Commissariat à la protection de la vie privée ainsi qu’aux clients ou aux personnes touchés.

Coûts

Je crois qu’il est juste d’affirmer que, de nos jours, la plupart des entreprises comprennent l’importance de la protection de la vie privée, spécialement lorsqu’il est question de valeurs mobilières, de pensions ou d’assurances.

Cependant, certaines inquiétudes persistent au sujet des coûts. Les entreprises se demandent parfois s’il vaut vraiment la peine d’investir dans des mesures de protection des données.

À cela je réponds et je répète : absolument.

Vous n’avez qu’à demander aux entreprises TJX, qui auraient dépensé plus de 25 millions de dollars pour réparer les dégâts causés par l’immense atteinte à la vie privée qu’elles ont connue. Elles font face à une vingtaine de poursuites en recours collectif, sans compter qu&

Date de modification :