Si l’argent parle, que dit il à propos de vos renseignements personnels?

Cette page Web a été archivée dans le Web

L’information dont il est indiqué qu’elle est archivée est fournie à des fins de référence, de recherche ou de tenue de documents. Elle n’est pas assujettie aux normes Web du gouvernement du Canada et elle n’a pas été modifiée ou mise à jour depuis son archivage. Pour obtenir cette information dans un autre format, veuillez communiquer avec nous.

Commentaires dans le cadre de la 13e Conférence annuelle sur la juricomptabilité

Les 27 et 28 octobre 2011
Montréal (Québec)

Allocution prononcée par Patricia Kosseim
Avocate générale, Commissariat à la protection de la vie privée du Canada

(La version prononcée fait foi)


Partie I : Introduction

Au nom de la commissaire à la protection de la vie privée du Canada, je vous remercie sincèrement du grand honneur que vous nous faites en nous invitant à participer à votre conférence aujourd’hui. C’est toujours un énorme plaisir pour moi de revenir à Montréal et je profite de toutes les occasions possibles pour retrouver mon « chez moi ».

C’est d’autant plus un plaisir pour moi de pouvoir m’adresser à des professionnels qui ont une tradition solidement ancrée dans les principes de confidentialité et de vie privée. Vous avez déjà articulé votre obligation de confidentialité parmi les outils principaux dans vos normes de pratique, et vous y avez mis une emphase toute particulière dans vos codes d’éthiques. Nous avions aussi été très impressionnés par votre “Privacy Maturity Model” – le « modèle d’évolution des pratiques en matière de protection des renseignements personnels » que vous avez publié conjointement avec vos homologues américains en mars dernier. Il s’agit d’un cadre utile, efficace et souple au moyen duquel vous pouvez mesurer la performance d’une entité en terme de protection des renseignements personnels, tout en l’inspirant à perfectionner ses programmes et ses pratiques lorsqu’il y a lieu de le faire afin d’atteindre un plus haut niveau de maturité.

Selon ce que je comprends de la nature de votre travail, les comptables judiciaires enquêtent sur les transactions financières, souvent dans le but de recueillir des preuves pour les procédures judiciaires au civil ou au criminel actuelles et futures. Vos clients peuvent être des institutions gouvernementales, des organisations du secteur privé ou des organismes d’application de la loi. Vous pouvez participer aux enquêtes sur des cas de fraude criminelle, de blanchiment d’argent ou d’autres formes de criminalité en col blanc; les activités terroristes, la fraude civile, les procédures en divorce, les faillites, les détournements de fonds ou les vols commis par des employés et, de plus en plus, la cybercriminalité. Essentiellement, si je comprends bien, vous « suivez l’argent ». Dans le cadre de ce processus, vous recueillez nécessairement une quantité importante de renseignements personnels sur les personnes qui sont touchées par les transactions financières ou qui sont par ailleurs impliquées dans les circuits de blanchiment sur lesquels vous faites enquête. Les renseignements personnels sont en grande partie la monnaie de votre travail. Et, plus particulièrement, les renseignements financiers, qui figurent parmi les renseignements personnels les plus délicats des Canadiens.

C’est à cette étape que votre travail recoupe habituellement la législation sur la protection des données. Si vous recueillez, utilisez ou communiquez des renseignements personnels au nom de vos clients dans le cadre de ce qui constitue, essentiellement, une activité commerciale, la Loi sur la protection des renseignements personnels et les documents électroniques, ou « LPRPDE » fédérale s’appliquera – sauf si vous le faites en Colombie‑Britannique, en Alberta, au Québec ou en Ontario (en ce qui concerne les dépositaires de renseignements sur la santé), où c’est la loi essentiellement similaire de la province en question qui s’applique. Si vous recueillez, utilisez ou communiquez des renseignements personnels d’une institution gouvernementale – fédérale ou provinciale – c’est la loi sur la protection des renseignements personnels dans le secteur public qui s’applique.

Mes autres remarques, aujourd’hui, porteront sur la LPRPDE et les activités commerciales des comptables judiciaires qui s’inscrivent dans son champ d’application.

Partie II : La LPRPDE et son application aux activités de comptabilité judiciaire

Le terme anglais « forensic » (« judiciaire » en français) renvoie au mot latin « forensis » qui signifie « du forum », où siégeaient les tribunaux de la Rome ancienne. Si la comptabilité judiciaire, tout comme d’autres sciences judiciaires, cherche à présenter la vérité devant les cours de justice ou dans le cadre d’un débat public, il peut sembler quelque peu déplacé que je sois ici aujourd’hui pour vous parler de la protection de la vie privée – ou peut‑être n’est‑ce pas le cas?

D’entrée de jeu, je devrais dire que la LPRPDE, à titre de loi fédérale sur la protection des renseignements personnels applicable au secteur privé, vise à protéger la vie privée des citoyens dans le bon sens; elle ne vise pas à permettre aux fraudeurs de se soustraire à leurs responsabilités en vertu de la loi.

L’objet de la LPRPDE reconnaît de façon inhérente à la fois le droit d’une personne à la protection de ses renseignements personnels et le besoin des organisations de recueillir, d’utiliser ou de communiquer des renseignements personnels à des fins qu’une personne raisonnable estimerait acceptables dans les circonstances.

« À des fins qu’une personne raisonnable estimerait acceptables dans les circonstances » – voilà bien le hic. En effet, il s’agit là du prisme même à travers lequel le Commissariat examine la majorité des plaintes relatives à la protection des renseignements personnels en vertu de la LPRPDE.

Permettez‑moi maintenant de vous parler de quelques‑uns des principes de protection des données de la LPRPDE qui s’appliquent particulièrement à votre travail.

i. Consentement

La LPRPDE, à titre de régime principalement fondé sur le consentement, prévoit plusieurs exceptions au consentement qui s’appliquent à votre travail en tant que comptable judiciaire.

Si vous êtes un comptable général accrédité, vous êtes actuellement un « organisme d’enquête » désigné aux termes de la loi. Si vous êtes un comptable judiciaire qui travaille dans le secteur public, vous relevez probablement d’une institution gouvernementale. Dans les deux cas – qu’il s’agisse d’un organisme d’enquête ou d’une institution gouvernementale – vous agissez à titre de tiers par rapport aux organisations sous la réglementation de la LPRPDE qui peuvent, à leur discrétion, vous communiquer des renseignements personnels sans consentement si elles ont des motifs raisonnables de croire que les renseignements ont trait à la violation d’un accord ou à la contravention d’une loi ou si elles soupçonnent qu’ils sont liés à la sécurité nationale.

Pour les comptables judiciaires parmi vous qui œuvrez dans le secteur privé – que vous travaillez à l’interne pour une importante organisation commerciale ou pour une entreprise privée – votre propre organisation ou entreprise pourrait être assujettie à la LPRPDE. Cette loi vous autorise à recueillir et à utiliser des renseignements personnels sans consentement s’il est raisonnable de s’attendre à ce que la recherche du consentement de la personne compromette l’exactitude de l’information et si la collecte est raisonnable pour mener une enquête sur la violation d’un accord ou la contravention d’une loi. De votre côté, vous pouvez, à votre discrétion, communiquer des renseignements personnels sans consentement à un organisme d’enquête ou à une institution gouvernementale selon les mêmes critères que je viens de décrire. Vous pouvez également communiquer des renseignements personnels tel qu’il est précisé dans la Loi sur le recyclage des produits de la criminalité et le financement des activités terroristes.

Comme vous pouvez le constater, dans la mesure où vous répondez aux critères minimaux énoncés, la LPRPDE vous accorde beaucoup de flexibilité pour recueillir, utiliser et communiquer des renseignements personnels sans consentement afin de pouvoir vous acquitter de votre important travail sans compromettre l’intégrité de vos enquêtes.

Cela dit, les organisations assujetties à la LPRPDE – même si elles sont exemptées de l’exigence de consentement – doivent néanmoins satisfaire à tous les autres principes de la LPRPDE. Je discuterai maintenant de quelques-uns de ces principes qui, je crois bien, peuvent figurer parmi les plus difficiles à mettre en pratique.

ii. Limitation de la collecte

Le principe de la limitation de la collecte oblige les organisations à limiter la collecte de renseignements personnels à ceux qui sont jugés nécessaires aux fins déterminées par l’organisation et qui peut être faite de façon honnête et licite. En d’autres mots, les organisations n’ont pas la liberté de faire des recherches d’informations à l’aveuglette, mais devraient plutôt seulement recueillir les renseignements qui sont jugés nécessaires pour mener une enquête bien définie.

Par ailleurs, les organisations doivent, dans la mesure du possible, éviter de recueillir des renseignements personnels sur d’autres tiers qui ne sont pas directement visés par une enquête, comme les membres de la famille, les collègues de travail, etc. Lorsqu’il n’est pas pratique de démêler les données combinées – par exemple, les détenteurs d’un compte conjoint, les parties à des opérations financières et à une correspondance pertinentes, etc. –, les organisations doivent néanmoins déployer de sérieux efforts pour anonymiser les tiers innocents.

La question de savoir ce qu’il faut faire devant l’utilisation explosive des médias sociaux est également liée au principe de la limitation de la collecte. Même s’il s’agit d’une source d’information très tentante et très utile pour tout investisseur, vous devez néanmoins être conscients et respectueux des paramètres appropriés. Le fait que des personnes communiquent des renseignements personnels sur elles à d’autres par l’entremise d’un réseau social ou des renseignements qui sont du domaine public ne veut pas dire que ces renseignements sont « accessibles au public » et, par conséquent, « disponibles » au sens de la Loi.

Les « renseignements accessibles au public » doivent être visés par l’une des catégories établies dans le règlement, et la collecte, l’utilisation ou la communication des renseignements doivent être directement liées à la raison pour laquelle ils figurent dans les répertoires, dossiers, documents ou registres publics.

En ce qui concerne Internet, et plus particulièrement les sites Web de médias sociaux, les personnes peuvent avoir eu l’intention de garder les renseignements « personnels » et de ne les communiquer qu’à des « amis ». C’est pourquoi ces renseignements personnels doivent être traités avec autant de prudence que tout autre renseignement personnel qui pourrait être de nature sensible. Ils ne devraient être recueillis que dans la mesure nécessaire pour mener l’enquête dûment définie, sous réserve des mêmes conditions que tout autre renseignement personnel recueilli sans consentement. Par ailleurs, ils ne devraient pas être recueillis par le biais de piratage informatique, d’usurpation d’identité, de piégeage ou d’une autre méthode d’enquête trompeuse qui peut être illégale et contrevenir à la loi.

iii. Accès aux renseignements personnels

Le principe de l’accès aux renseignements personnels est un autre principe que vous pouvez trouver difficile à mettre en pratique. Même si, en règle générale, la LPRPDE offre à toutes les personnes le droit fondamental de demander l’accès aux renseignements personnels qui les concernent – y compris le droit de savoir ce qui a été fait avec leurs renseignements personnels –, il existe des exceptions. Mentionnons notamment les situations exceptionnelles où l’organisation a communiqué des renseignements personnels sans consentement à un organisme d’enquête ou à une institution gouvernementale afin d’enquêter sur la violation d’un accord ou la contravention d’une loi, à des fins de sécurité nationale ou tel qu’il est requis en vertu de la Loi sur le recyclage des produits de la criminalité et le financement des activités terroristes.

Dans ces cas, l’organisation ne peut communiquer à la personne l’accès aux renseignements personnels demandés, y compris le fait que ces renseignements ont été divulgués sans consentement aux fins susmentionnées, sans tout d’abord en aviser l’institution gouvernementale et lui donner la possibilité de s’opposer à la communication dans un délai de 30 jours. L’institution gouvernementale pourrait s’y opposer si elle est d’avis que l’accès demandé pourrait raisonnablement porter atteinte à la sécurité nationale, à la défense du Canada, à la conduite des affaires internationales, à la détection, à la prévention ou à la dissuasion du recyclage des produits de la criminalité ou du financement des activités terroristes, à l’application du droit ou à la tenue d’enquêtes. En cas d’objection de l’institution gouvernementale, l’organisation doit refuser la demande d’accès aux renseignements personnels et en aviser le commissaire à la protection de la vie privée par écrit et sans délai.

iv. Protection et conservation

Enfin, comme c’est le cas pour tous les autres intendants ou gardiens de données de nos jours, ceux d’entre vous qui travaillez au sein d’organisations assujetties à la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) faites face aux mêmes difficultés quand il s’agit de protéger des fonds de renseignements personnels de nature délicate contre des atteintes à leur sécurité. De plus en plus, cela vous oblige à suivre l’évolution des technologies afin de vous assurer que vos systèmes de données demeurent raisonnablement à l’abri des menaces internes et externes. À cette fin, vous devez concevoir vos systèmes d’information de manière à y intégrer dès le début des mécanismes de protection des renseignements personnels. Vous devrez aussi probablement repenser vos systèmes de TI afin de rester au fait des avancées technologiques en matière de protection de la vie privée et des normes de l’industrie qui évoluent. À ceux d’entre vous qui envisagez la possibilité de déménager la totalité ou une partie de vos systèmes de données dans les nuages, je vous invite à visiter notre site Web afin de prendre connaissance de la fiche d’information pratique que nous y avons affichée dernièrement sur la question de l’infonuagique.

La protection des données contre le risque d’atteintes ne se limite toutefois pas à diverses mesures surajoutées, que ce soient les pare‑feux, le chiffrement, les pistes de vérification, les technologies d’authentification qui comprennent notamment les plus récentes découvertes en biométrie. C’est aussi fondamentalement veiller à mettre en place une structure de gouvernance organisationnelle appropriée permettant de détecter, d’expliquer et, finalement, de corriger les faiblesses possibles en matière de protection des renseignements personnels. De plus, il faut déployer des efforts constants pour offrir régulièrement de la formation dans le domaine à tout le personnel, et pas seulement aux recrues ou aux employés qui occupent de nouveaux postes.

Surtout, comme la commissaire l’a souligné à maintes reprises dans se conclusions antérieures, l’une des meilleures protections contre l’atteinte à la confidentialité consiste au départ à ne pas recueillir et conserver autant de renseignements. Je sais que les calendriers de conservation et de destruction sont un sujet délicat pour les professionnels qui sont tenus, conformément à leur code de déontologie, de conserver leurs documents en cas de responsabilité éventuelle ou à des fins de vérification pour une période qui va au‑delà de la date d’achèvement d’un contrat. Les médecins, les avocats et les membres d’autres groupes professionnels sont aux prises avec le même dilemme. Cela dit, une fois écoulée la période de conservation minimale prescrite, il est important de détruire sans tarder les renseignements personnels.

Partie III : Projet de loi C‑12 et LPRPDE à l’horizon

Jusqu’à présent, je vous ai entretenu de la LPRPDE actuelle. Toutefois, comme bon nombre d’entre vous le savent, le projet de loi C‑12, Loi modifiant la Loi sur la protection des renseignements personnels et les documents électroniques, a été déposé au Parlement le 29 septembre dernier. Tel que présenté, il est essentiellement identique au projet de loi C‑29 précédent.

Aux fins de l’exposé, je mettrai en lumière trois modifications notables proposées :

Premièrement, selon les changements proposés, les organisations seraient tenues de déclarer au commissaire à la protection de la vie privée du Canada toute atteinte importante à la sécurité des données. Dans les cas où il est raisonnable de croire que l’atteinte présenterait un risque réel de préjudice grave, elles seraient également obligées d’aviser les personnes directement concernées. Le régime de signalement obligatoire des atteintes à la sécurité des données prévu dans le projet de loi C‑12 ressemble beaucoup à nos lignes directrices facultatives. Si elles sont adoptées, les modifications législatives auront probablement pour effet d’inciter un plus grand nombre d’organisations à prendre au sérieux les mesures de sécurité requises, et à signaler et à corriger les atteintes à la sécurité qui peuvent actuellement passer inaperçues, renforçant ainsi, nous l’espérons, la responsabilité qui incombe aux organisations aux termes de la Loi.

Deuxièmement, le projet de loi, s’il est adopté, mettrait fin au présent régime de désignation en ce qui concerne les organismes d’enquête visés par la LPRPDE actuelle. Ainsi, les personnes ou les organismes menant des enquêtes n’auraient plus à demander une désignation spéciale en recourant au moyen officiel du décret. La LPRPDE permettrait plutôt la communication sans le consentement de l’intéressé lorsque cela est nécessaire pour enquêter sur une violation d’un accord ou d’une infraction à une loi, ou dans le but de prévenir, de détecter et d’éradiquer la fraude. En d’autres mots, la communication permise de renseignements personnels sans le consentement de l’intéressé dépendrait de l’objectif de la communication proposée et non plus du statut officiel de la personne ou de l’entité à qui les renseignements ont été communiqués.

Troisièmement, dans un effort pour offrir une meilleure définition d’« autorité légitime », expression qui, de l’avis de nombreuses personnes, est nébuleuse dans la Loi actuelle, le projet de loi propose une définition formulée par la négative, précisant ce que n’est pas une autorité légitime. Selon le projet de loi C‑32, une autorité légitime est « autre qu’une assignation, un mandat ou une ordonnance d’un tribunal, d’une personne ou d’un organisme ayant le pouvoir de contraindre à la production de renseignements, ou que des règles de procédure se rapportant à la production de documents ». Si l’on combine cette définition à la modification connexe proposée d’exempter l’organisation qui communique les renseignements de l’obligation de vérifier la validité de l’autorité légitime, plusieurs commentateurs estiment que cette tentative de clarifier l’expression « autorité légitime » n’était pas utile et pourrait même entraîner une augmentation du nombre de communications sans consentement de renseignements personnels aux institutions gouvernementales.

Partie IV : Conclusions

Tout au long de mon exposé, je vous ai peut‑être dépeint la situation où d’un côté, on a l’expertise comptable judiciaire et de l’autre, la protection des renseignements personnels, le défi consistant à trouver le juste équilibre entre les deux forces opposées. Toutefois, à maints égards, le travail d’expertise comptable judiciaire et de la protection des données constitue de façon croissante une seule et même force, faisant particulièrement opposition à la nouvelle menace : le cybercrime. À mesure que les renseignements personnels deviennent la nouvelle monnaie d’une économie numérique en plein essor, votre travail se transformera : au lieu de suivre l’argent, vous suivrez bientôt les renseignements personnels. Vos grandes capacités d’enquête pour retracer les transactions financières seront de plus en plus transposées à la circulation des données personnelles. Au moment où le gouvernement déploie sa stratégie visant à bâtir la confiance des Canadiens à l’égard de la nouvelle économie numérique, il n’y a pas de doute que votre profession contribuera aux enquêtes dans les cas de vols d’identité et d’autres menaces en ligne. L’expertise comptable judiciaire deviendra essentielle aux organisations et aux organes de réglementation touchés, y compris les trois organismes d’exécution chargés de l’application de la Loi anti‑pourriel, dont le CPVP.

Permettez‑moi de vous donner un exemple :

http://www.youtube.com/watch?v=99vQYt-0Mg4&feature=player_detailpage

La responsabilité et la transparence – ce que j’appelle les « principes passifs » de la LPRPDE – sont probablement les principes dont il faut le plus tenir compte, mais qui malheureusement sont encore considérés par beaucoup comme rien d’autre que de pieux énoncés. Certaines organisations ne s’y intéressent que pour la forme en ajoutant les mots « agent de la protection de la vie privée » au titre de quelque gestionnaire dont les ressources sont insuffisantes et affichent une politique sur la protection de la vie privée générique sur leur site Web. Compte tenu de ce qu’elles considèrent comme d’autres priorités concurrentielles dans un contexte économique difficile, elles peuvent décider de ne faire guère plus, jusqu’à ce qu’un problème survienne, bien entendu.

Dans l’actuel contexte d’explosion des technologies de l’information, de partage mondial des données et des structures de bénéfices très complexes et obscures qui dirigent le marché Internet, il est toutefois de plus en plus évident pour le Commissariat, entre autres, que la responsabilité et la transparence sont en voie de devenir les facteurs les plus importants pour une protection des données efficace – je dirais même pour des pratiques d’affaires efficaces. Si une profession réalise l’importance de la responsabilité et de la transparence, c’est bien la vôtre. Nous comptons sur vous pour offrir un exemple modèle de la façon dont vous traitez les renseignements personnels dans le cadre de vos enquêtes afin de pouvoir jouer un rôle important et crédible dans les recherches sur les nouvelles menaces qui guettent les renseignements personnels des Canadiens et l’élaboration de méthodes pour les combattre. Comme le suggère le titre de la suite du film d’Oliver Stone sur Wall Street, « l’argent ne dort jamais », et c’est également le cas des renseignements personnels. Nous devons pouvoir compter sur vos compétences en matière d’enquêtes et votre participation active pour veiller à ce que la nouvelle monnaie de l’économie numérique du Canada soit protégée contre les menaces de conduite frauduleuse. Nous nous réjouissons à l’idée de travailler avec vous.

Merci.

Signaler un problème ou une erreur sur cette page
Veuillez cocher toutes les réponses pertinentes (obligatoire) : Erreur 1 : Ce champ est obligatoire.

Remarque

Date de modification :