Organisme canadien de réglementation du commerce des valeurs mobilières

Cette page Web a été archivée dans le Web

L’information dont il est indiqué qu’elle est archivée est fournie à des fins de référence, de recherche ou de tenue de documents. Elle n’est pas assujettie aux normes Web du gouvernement du Canada et elle n’a pas été modifiée ou mise à jour depuis son archivage. Pour obtenir cette information dans un autre format, veuillez communiquer avec nous.

Commentaires lors de la Conférence de 2009 du comité sur la conformité et l’éducation juridique

Le 1er décembre 2009
Toronto (Ontario)

Allocution prononcée par Elizabeth Denham
Commissaire adjointe à la protection de la vie privée du Canada

(La version prononcée fait foi)


Introduction

Mesdames et Messieurs, bonjour. C’est un honneur d’avoir été invitée à cette conférence de 2009 sur la conformité.

Sans contredit, plusieurs facteurs viennent modifier le mode de fonctionnement de l’industrie des services d’investissement et certains d’entre eux ont un impact direct sur la vie privée.

La mondialisation et la circulation transfrontalière des données, les nouvelles technologies telles que l’informatique dans les nuages, et les prescriptions en matière de collecte de données de la Loi sur le recyclage des produits de la criminalité et le financement des activités terroristes ne représentent que trois des éléments qui influent considérablement sur votre industrie.

Dans ce contexte, je suis très heureuse d’être ici pour vous parler de la Loi sur la protection des renseignements personnels et les documents électroniques (ou LPRPDE), et de la façon dont cette importante mesure législative vient renforcer les mécanismes de protection des renseignements personnels dans le secteur privé.

Aperçu

L’une des grandes tendances qui influent sur votre industrie — et sur plusieurs autres, d’ailleurs — est que les entreprises se trouvent aujourd’hui à recueillir de plus en plus de renseignements personnels.

Il s’agit en partie d’un choix que font les entreprises pour se donner un avantage concurrentiel.

Dans d’autres cas, par contre, les organisations sont tenues par la loi de recueillir ces données. La Loi sur le recyclage des produits de la criminalité et le financement des activités terroristes constitue l’un des exemples les plus éloquents de ce phénomène.

En cette ère de mondialisation, par ailleurs, les renseignements personnels recueillis tendent souvent à être envoyés à l’autre bout du monde aux fins d’utilisation ou de traitement.

Et aujourd’hui, avec les avancées technologiques comme les services aux entreprises offerts dans les nuages par l’entremise du Web, on peut parfois se demander où les données sont envoyées, conservées ou traitées.

La force de ces tendances est indéniable, mais il nous incombe tous de reconnaître les risques que celles‑ci posent pour la vie privée. Ces activités de collecte, d’utilisation et de communication de renseignements personnels s’accompagnent d’obligations en vertu des lois relatives à la protection des renseignements personnels — des règlements qui régissent la façon de recueillir les données, d’informer les gens de cette collecte, d’obtenir leur consentement et de protéger les renseignements personnels qu’ils confient aux entreprises.

Car une fuite de renseignements peut entraîner de graves problèmes, tant pour la personne concernée que pour l’entreprise en question.

Après tout, il peut en coûter cher aux organisations de devoir corriger une atteinte à la protection des renseignements personnels. Qui plus est, la survie des organisations qui donnent des conseils en matière de finances et d’investissement dépend de la confiance de leurs clients. Une atteinte peut avoir des répercussions dévastatrices.

Il n’y aura bientôt nulle part où se cacher à la suite d’une atteinte à la protection des données. Des règles concernant le signalement obligatoire en cas d’atteinte sont en cours d’élaboration et remplaceront les lignes directrices facultatives actuellement en place.

Le message principal que je souhaite vous transmettre aujourd’hui est que le Commissariat à la protection de la vie privée du Canada est là pour vous aider.

Nous avons émis des directives sur des sujets aussi complexes que la circulation transfrontalière des données. Nous avons exploré un vaste éventail de questions dans le cadre de nos enquêtes sur des plaintes. Nous avons abordé des questions précises dans des lettres et des réunions. Et nous continuerons à le faire à mesure que les enjeux évoluent.

J’aborderai tous ces points dans un instant. Mais dans un premier temps, j’ai pensé que vous aimeriez avoir un aperçu de certaines des questions qui préoccupent actuellement le Commissariat.

Préoccupations du CPVP

Enquête sur Facebook

En ce qui concerne le secteur privé, l’un des plus importants dossiers sur lequel nous nous sommes penchés dernièrement a été le règlement satisfaisant, l’été dernier, d’une plainte complexe et à multiples volets à l’endroit des politiques et des pratiques de Facebook en matière de protection de la vie privée. De fait, nous sommes le premier commissariat à la protection de la vie privée au monde à avoir terminé un examen approfondi de l’incidence des sites de réseautage social sur la protection de la vie privée.

En raison du caractère inédit et de l’ampleur de ce défi, la publication de nos conclusions en juillet a attiré l’attention du monde entier dans les médias grand public et en ligne. C’est en partie ce qui a incité Facebook à collaborer avec nous afin de régler les quelques enjeux en suspens.

Nous avons été particulièrement ravis quand Facebook a annoncé que les améliorations qui seraient faites en réponse à nos recommandations s’étendraient à l’ensemble de ses 300 millions d’utilisateurs à l’échelle mondiale.

Et nous nous réjouissons également du fait que cette enquête sans précédent a permis de mettre en lumière la souplesse et l’efficacité du modèle canadien de protection des données personnelles.

Examen de la LPRPDE

Nous nous concentrons également sur les travaux en cours au gouvernement pour renforcer la LPRPDE, qui est entièrement en vigueur depuis 2004.

L’une des questions principales soulevées lors de l’examen de la LPRPDE a été celle du signalement obligatoire en cas d’atteinte à la sécurité des données. Le gouvernement a affirmé qu’il comptait aller de l’avant dans ce dossier, et j’aborderai ce sujet dans quelques instants.

Nous nous attendons également à ce que l’examen de la LPRPDE permette de régler d’autres questions en suspens, comme la clarification de l’application de la Loi dans le cadre des relations employeur‑employé.

Loi sur la protection du commerce électronique

Nous nous attendons à ce que les pouvoirs de la commissaire soient resserrés prochainement dans le contexte d’une nouvelle mesure législative, la Loi sur la protection du commerce électronique.

Ce projet de loi, qui suit actuellement son cours au Parlement, vise d’abord et avant tout à réduire les pourriels et autres messages électroniques indésirables. Nous réclamions cette mesure législative depuis quelque temps déjà et nous l’accueillons avec enthousiasme.

La Loi sur la protection du commerce électronique élargirait également les pouvoirs du Commissariat en matière de collaboration et de partage de l’information avec nos homologues provinciaux et étrangers responsables de l’application de lois similaires à la LPRPDE. 

De plus, cette Loi conférerait à la commissaire un nouveau pouvoir discrétionnaire quant aux plaintes sur lesquelles enquêter. Plutôt que de mener des enquêtes selon le principe du premier arrivé, premier servi, le Commissariat pourrait concentrer ses ressources sur les questions de protection de la vie privée plus systémiques, ce qui améliorerait l’impact de nos interventions.

Par exemple, l’évolution rapide des technologies de l’information, y compris les applications Internet et les technologies de surveillance, expose la société à de nouvelles menaces. Et, dans bien des cas, celles‑ci sont si complexes et ésotériques que le citoyen moyen n’en serait même pas conscient et, par le fait même, ne porterait jamais plainte.

Voilà le genre de nouveaux enjeux sur lesquels les autorités de protection des données de partout dans le monde doivent se concentrer si elles veulent atténuer les risques les plus sérieux pour la protection de la vie privée.

LRPCFAT, CANAFE et collecte de données excessive

Pour en revenir aux problèmes systémiques touchant l’industrie de l’investissement, l’un des plus importants est la pression grandissante en faveur d’une collecte de données de plus en plus grande.

Un des moteurs clés de ce phénomène est la Loi sur le recyclage des produits de la criminalité et le financement des activités terroristes, qui oblige les organisations comme les entreprises de services d’investissement à remettre au CANAFE, le Centre d’analyse des opérations et déclarations financières du Canada, toute information sur des transferts de fonds considérables ou suspects.

Sans aucun doute, les organisations subissent d’énormes pressions pour déclarer cette information, car la non‑conformité à cette exigence peut mener à des amendes s’élevant jusqu’à deux millions de dollars et à des peines d’emprisonnement maximales de cinq ans.

En conséquence, une vérification récente menée par le Commissariat a permis de découvrir que le CANAFE recevait de la part de ces organisations des renseignements personnels dont il n’avait pas besoin, qu’il n’utilisait pas ou qu’il n’était pas autorisé par la loi à recevoir.

Voici quelques exemples tirés de ce rapport :

  • Premier exemple : une personne a déposé un chèque provenant d’un cabinet d’avocats. Au moment de la transaction, elle a fourni des sources légitimes pour les fonds, à la satisfaction de l’institution financière. Cette dernière a décidé tout de même d’aviser le CANAFE en raison de l’origine ethnique de la personne et parce que celle‑ci avait récemment fait un voyage dans un certain pays.
  • Deuxième exemple : une personne a déposé une somme inférieure au seuil de déclaration de 10 000 $. Lorsqu’on lui a posé des questions concernant la source des fonds, elle a déclaré avoir acheté de la marchandise au Canada et l’avoir vendue à l’étranger. Selon le rapport, même si les activités bancaires semblaient être normales, on les signalait au CANAFE pour faire en sorte que la personne se conforme aux exigences en matière d’impôts.
  • Et voici un troisième exemple, qui laisserait la majorité des gens perplexes :

Une entité déclarante a indiqué qu’elle adoptait une « approche conservatrice » en présentant un certain nombre de rapports d’opérations douteuses parce que, et je traduis librement, il n’y a pas de motifs de soupçonner que cette transaction était liée au blanchiment d’argent, mais il n’y a aucune preuve à l’effet que la transaction soit légitime.

De toute évidence, la nouvelle loi en matière de lutte contre le blanchiment d’argent en effraie plus d’un, mais on ne peut se permettre de négliger les dispositions d’une autre loi, à savoir la LPRPDE.

Selon le principe de la LPRPDE relatif à la limitation de la collecte, les organisations doivent restreindre la quantité et la nature des renseignements recueillis à ce qui est nécessaire pour réaliser les fins déterminées.

Nous reconnaissons que les entreprises peuvent se sentir tiraillées entre les deux lois. Voilà pourquoi le Commissariat est actuellement en train de rédiger une série de questions et de réponses pour fournir des directives utiles.

Par exemple, nous aborderons la question à savoir quelles cartes d’identité sont considérées comme acceptables pour les dossiers au sujet de la clientèle, et si les entreprises doivent ou ne doivent pas les photocopier.

Mais, en fin de compte, nous encourageons les organisations à communiquer avec le CANAFE également. Après tout, c’est le Centre qui reçoit les données et — surtout après notre rapport de vérification — je ne crois pas qu’il brûle d’envie de recevoir des renseignements personnels non pertinents.

Mondialisation et circulation transfrontalière des données

La mondialisation et le commerce international des investissements et des valeurs mobilières constituent d’autres tendances qui ont une incidence considérable sur votre industrie.

À ce chapitre, ce qui intéresse le plus le Commissariat est la circulation transfrontalière des renseignements personnels, y compris le traitement des données à l’étranger. En effet, avec la popularité croissante de l’accès aux données et du traitement de celles‑ci en ligne, notamment par l’entremise de l’informatique dans les nuages, on ne sait pas toujours où les données sont envoyées.

Je peux vous dire qu’à l’échelle internationale, de grands efforts sont déployés pour trouver une approche respectueuse de la protection des données. Un des résultats gratifiants d’une conférence internationale des commissaires à la protection des données tenue à Madrid en novembre dernier a été l’ébauche d’un accord sur une approche internationale en matière de protection des renseignements personnels.

Nous appuyons la norme fondée sur des principes et assujettie à plusieurs autorités envisagée dans l’accord de Madrid et considérons qu’il s’agit d’un pas important dans la bonne direction. D’un point de vue réaliste, toutefois, nous n’en sommes qu’au début d’une route qui s’annonce longue.

Ici, la LPRPDE nous permet déjà d’établir des attentes assez claires pour les entreprises œuvrant au Canada. Ces attentes sont bien énoncées dans plusieurs cas sur lesquels nous avons enquêté, notamment celui de Visa CIBC en 2005 et de SWIFT, la Society for Worldwide Interbank Financial Telecommunication, en 2007.

Approche fondée sur la responsabilité

Pour résumer les points principaux soulevés dans ces cas, la LPRPDE présente une « approche fondée sur la responsabilité » qui oblige les organisations qui transfèrent des renseignements personnels à s’assurer que les données sont protégées par une tierce partie.

Cela signifie que l’organisation qui transfère les renseignements doit s’assurer que la tierce partie dispose de politiques et de processus qui protègent les renseignements. Des contrats et d’autres moyens peuvent être utilisés pour veiller à ce que l’organisation fournisse un degré de protection comparable à celui qui serait offert au Canada.

La Loi ne fait pas de distinction entre les transferts nationaux et internationaux. Dans les deux cas, l’organisation qui fait le transfert demeure responsable.

Cela dit, il demeure qu’aucun contrat ne peut avoir préséance sur les lois d’une administration étrangère. Ainsi, les données transférées aux États‑Unis, par exemple, seront toujours assujetties à des lois comme la USA Patriot Act.

Voilà pourquoi il est essentiel que les entreprises fassent preuve de transparence dans leurs pratiques de traitement des données. Elles doivent informer clairement leurs clients que leurs renseignements personnels pourraient être envoyés dans un autre pays et que les tribunaux, les organismes d’application de la loi et les agences de sécurité nationale de ce pays pourraient y accéder.

La protection des renseignements personnels envoyés à l’étranger constitue un enjeu complexe et délicat. C’est pourquoi le Commissariat a publié les Lignes directrices sur le traitement transfrontalier des données personnelles, un document disponible sur notre site Web qui vise à aider les organismes à comprendre leurs obligations.

Atteintes à la protection des données

Il est clair qu’une collecte excessive de renseignements ou la protection inadéquate de ceux‑ci peut entraîner le risque que les données se perdent ou tombent entre de mauvaises mains.

Les atteintes à la sécurité des données constituent un sérieux problème. Nous n’avons qu’à nous rappeler le cas de l’entreprise TJX, propriétaire des magasins Winners et Homesense. Vers la fin de 2006, il y a eu effraction dans le système informatique de l’entreprise et 98 millions de numéros de cartes de crédit et de débit ont été volés — du jamais vu! Aux dernières nouvelles, l’entreprise faisait face à une vingtaine de poursuites en recours collectifs, était soumise à des enquêtes dans une trentaine d’États américains et devait éponger une facture de plus d’un milliard de dollars pour nettoyer les dégâts après coup. Le CPVP a réalisé une enquête sur TJX et a exigé que l’entreprise apporte des changements majeurs à sa norme de chiffrement des données, ainsi qu’à sa pratique consistant à tenir une base de données contenant des renseignements sur les permis de conduire et d’autres renseignements personnels.

L’année dernière, le Commissariat a étudié toutes les atteintes dans le secteur privé qui lui ont été signalées entre 2006 et 2008. Nous avons constaté qu’une proportion appréciable de ces atteintes était attribuable à des personnes qui travaillaient pour l’entreprise en question, comme salarié ou contractuel, lorsque l’atteinte a eu lieu.

Dans 36 % des cas, une personne a obtenu un accès non autorisé à des dossiers. La plupart du temps, le coupable était un employé ou un entrepreneur malveillant, qui obtenait généralement l’accès aux données à des fins frauduleuses ou répréhensibles.

Dans 31 % des cas, l’atteinte était accidentelle et habituellement attribuable à l’inattention d’un employé. L’envoi de documents par la poste, par télécopieur ou par courriel au mauvais destinataire, et le vol d’ordinateurs ou d’autres appareils étaient des causes courantes des atteintes à la protection des données.

Signalement obligatoire en cas d’atteinte à la sécurité des données

Bien sûr, comprendre la portée et la nature des atteintes à la protection des renseignements ne relève pas d’une science exacte puisque nous n’avons pas toutes les informations nécessaires. En effet, le signalement des atteintes au Commissariat est actuellement laissé à la discrétion de l’organisation qui subit l’atteinte.

Même si de nombreuses entreprises ont pris au sérieux nos lignes directrices de 2007 concernant le signalement volontaire des atteintes, il reste beaucoup à faire à cet égard. Voilà pourquoi nous nous félicitons de l’arrivée prochaine d’un régime de signalement obligatoire.

Cet élément clé de la mise à jour de la LPRPDE obligerait les organisations à aviser le Commissariat ainsi que les personnes touchées des atteintes importantes à la sécurité des données.

Étude menée par NYMITY

Afin de souligner l’importance d’instaurer le signalement obligatoire, je tiens à vous faire part de certains constats d’une étude indépendante réalisée pour le Commissariat.

L’étude a été menée auprès de 27 organisations variées et de tailles différentes et a conclu qu’un peu plus de 50 % de celles‑ci avaient en place un protocole officiel touchant les atteintes à la sécurité des données. La plupart des autres organisations étaient au moins dotées d’un système officieux, mais elles avaient tendance à se fier au savoir‑faire de leur agent responsable de la protection des renseignements personnels.

Je ne me fais pas d’illusions : les organisations ne sont pas enchantées à la perspective de perdre leur pouvoir discrétionnaire en matière de signalement. Plusieurs, par exemple, ont exprimé des inquiétudes concernant les coûts additionnels que cela représenterait pour elles.

Mais bon nombre d’organisations ont soulevé certains avantages, dont l’amélioration de la sécurité des données, l’attention accordée à la prévention des atteintes, et l’augmentation de la responsabilité à l’égard de la protection des renseignements personnels dans les activités des organisations.

Nous comprenons que le régime proposé serait fondé sur une évaluation des risques posés par une atteinte, et que les organisations auraient une très grande latitude pour peser ces risques.

Bonne relation

Avant de terminer, je tiens à vous dire que je me réjouis de l’esprit de collaboration qui règne entre le Commissariat et vous, en tant qu’organismes de réglementation, et l’ensemble de l’industrie des services d’investissement. Je suis satisfaite des voies de communication ouvertes, grâce auxquelles vous nous avez demandé conseil par le passé sur certains aspects épineux de la protection des renseignements personnels dans votre domaine.

Vous nous avez demandé notre avis, par exemple, sur qui est responsable de la protection des renseignements personnels d’un client qui suit son conseiller financier lorsque celui‑ci change d’entreprise.

Nous avons répondu que le devoir de diligence revient à l’organisme du conseiller et que toute communication des coordonnées du client nécessite le consentement du client. Nous avons suggéré que ce consentement pourrait être intégré dans des processus dès le début.

Nous serions heureux de vous fournir tout autre renseignement qui pourrait vous être utile, qu’il s’agisse d’un précédent, d’un rappel des articles pertinents de la LPRPDE ou des lignes directrices qui pourraient approfondir davantage la question.

Conclusion

En résumé, je pense que nous nous entendons tous pour dire que le monde change rapidement. L’industrie des services d’investissement recueille une énorme quantité de renseignements personnels, dont une grande partie circule partout sur la planète par des voies qui sont de plus en plus difficiles à comprendre pour la majorité des gens.

En tant qu’organismes de réglementation, vous ne recueillez pas de renseignements personnels au quotidien. Toutefois, il est important que vous compreniez comment les lois sur la protection des renseignements personnels influent sur les organismes que vous réglementez.

Il importe de comprendre, par exemple, que la LPRPDE n’empêche pas les organisations de recueillir des renseignements personnels et de les envoyer à l’étranger aux fins de traitement.

Elle exige plutôt que les organisations recueillent seulement le minimum de renseignements nécessaire, qu’elles demeurent responsables de leur protection, même si elles les envoient ailleurs, et qu’elles fassent preuve de transparence dans leurs activités.

Cela se résume par le sens des affaires : la confiance du client est la pierre angulaire du succès d’une entreprise de services financiers. Et cette confiance repose sur l’assurance que les clients ont que leurs renseignements personnels seront protégés.

Depuis l’adoption de la LPRPDE, il y a huit ans, les entreprises reconnaissent de plus en plus la nécessité de protéger les renseignements personnels de leurs clients.

Nous devons maintenant poursuivre sur cette lancée.

Merci de votre attention.

Signaler un problème ou une erreur sur cette page
Veuillez cocher toutes les réponses pertinentes (obligatoire) : Erreur 1 : Ce champ est obligatoire.

Remarque

Date de modification :