31 Août Aide-mémoire pour le respect des lois de protection de la vie privée en finance
L’introduction de nouvelles lois fédérales et provinciales fait entrer le Canada dans une nouvelle ère sur le plan de la protection des renseignements personnels. Les firmes d’investissement et les institutions financières doivent rapidement repenser leur façon de collecter, entreposer et utiliser les données de leurs clients. Voici un aide-mémoire des mesures à mettre en place pour assurer le respect des règles.
L’adoption exponentielle des technologies dans la dernière décennie a incité les entreprises à tirer profit des données de sa clientèle. Les firmes s’en servent pour connaître les besoins insatisfaits des clients, développer de nouveaux produits et services, personnaliser la publicité et le marketing ainsi que pour renforcer l’engagement des clients.
Cependant, les cas de piratage de données et de vol d’identité font souvent la manchette. En réponse à ce fléau, les gouvernements ont commencé à amender la législation en matière de sécurité des données de manière à responsabiliser les entreprises.
« Toutes compagnies qui collectent, utilisent et entreposent des renseignements personnels doivent se conformer à la loi. Les firmes de gestion de patrimoine n’y font pas exception. Pour y arriver, elles doivent mettre sur pied des protocoles adéquats et fournir aux employés les outils dont ils ont besoin pour gérer le cycle de vie de toutes les données personnelles qu’ils recueillent », prévient Me Luc Larose, Vice-président, Expérience client chez Croesus.
Modernisation de la Loi canadienne sur les renseignements personnels
Le 22 septembre 2021, le gouvernement du Québec a adopté le projet de Loi 64. Ce dernier est aujourd’hui connu comme la Loi 25, Loi modernisant des dispositions législatives en matière de protection des renseignements personnels. Les dispositions de cette Loi entrent graduellement en vigueur jusqu’à septembre 2024. Cette réforme fait du Québec la première province canadienne à adapter ses politiques en matière de protection des renseignements personnels à l’environnement technologique actuel.
Plusieurs entreprises pourraient croire que ces nouvelles dispositions législatives ne s’appliquent pas à elles, mais la réalité est tout autre. En effet, ces nouvelles réglementations s’appliquent à toutes compagnies faisant des affaires au Québec.
« Il est primordial de se conformer rapidement à la loi, et selon l’échéancier prévu, car les changements organisationnels requis exigent beaucoup de planification, de temps et de ressources. Qui plus est, les sanctions financières en cas de non-conformité sont très importantes », souligne Me Larose.
Québec n’est pas la seule à resserrer les règles en matière de protection des données. Le Canada suit rapidement le mouvement avec le dépôt de la Loi sur la protection de la vie privée des consommateurs. Bien que le projet de Loi C-27 pourrait être amendé dans le processus législatif, il s’aligne parfaitement avec la tendance croissante en matière de protection des renseignements personnels. La modernisation de cette Loi vise à apporter une protection renforcée à l’échelle locale et internationale.
Se conformer aux lois canadiennes sur la protection des renseignements personnels
Pour que les firmes et les banques canadiennes s’y retrouvent, elles doivent comprendre les clauses prévues dans les lois. Bref, elles doivent savoir ce qu’elles ont le droit ou non de faire. Il est aussi essentiel qu’elles comprennent les conséquences associées au non-respect de cette loi.
« Les professionnels de la finance et les firmes devront s’assurer de bien encadrer la collecte, l’utilisation, la communication, la conservation et la destruction des renseignements personnels », résume Me Larose.
Voici une liste de ce que vous devez poser comme action pour vous conformer à la Loi 25 sur la protection des renseignements personnels :
- Comité d’accès à l’information et de protection des renseignements personnels : Implanter des processus de gouvernance des données, incluant des mécanismes qui permettent aux individus d’exercer leurs nouveaux droits.
- Responsable de la protection des renseignements personnels : Désigner un individu responsable de mettre la Loi en application.
- Atteinte à la vie privée : Obligatoirement informer les personnes concernées et la Commission d’accès à l’information (CAI) de tout accès non autorisé à des renseignements personnels.
- Amélioration du règlement sur les données à des fins de recherche et de statistique : Instaurer des règles strictes d’utilisation des renseignements personnels à des fins de recherche ou de statistique.
- Élaboration de politiques de gestion des données de l’entreprise : Mettre sur pied des politiques pour gérer efficacement les données détenues par l’entreprise.
- Exigences en matière de transparence : Publier les politiques et les pratiques de l’entreprise en matière de protection de la vie privée. Fournir l’information pertinente aux individus concernés relativement aux diverses questions sur la vie privée.
- Directives internes : Élaborer des directives internes à l’attention des employés et des fournisseurs de services afin de les aider à implanter les nouvelles politiques.
- Désindexation : Utiliser des solutions technologiques pour désindexer ou transférer des renseignements personnels sur demande de la personne concernée.
- Renforcer les règles sur le consentement : Établir des règles plus strictes afin d’obtenir un consentement valide.
- Révision des conditions pour la collection et la communication des données : Introduire de nouveaux critères en matière de collection et de communication des renseignements personnels, selon divers contextes.
Le droit à la portabilité des données sera ajouté à cette liste en 2024.
Ces règles ne s’appliquent pas seulement à vous, mais aussi aux fournisseurs de services. Pour éviter de vous retrouver dans une situation désastreuse, susceptible de compromettre la viabilité de votre entreprise, il importe de choisir judicieusement ses fournisseurs de services technologiques.
Comprendre le projet de Loi C-27 et ses répercussions
Le projet de Loi C-27 du gouvernement fédéral vise l’adoption d’une Loi sur la protection du consommateur en matière de renseignements confidentiels. Son thème central s’élabore autour de l’exigence d’obtenir un consentement pour collecter, utiliser et communiquer des renseignements personnels. S’il est adopté, il introduira des dispositions semblables à celles prévues par la Loi 25 et pourrait aussi entraîner l’adoption de deux nouvelles lois :
- La constitution d’un tribunal administratif chargé d’entendre les appels relatifs au nouveau cadre juridique sur la protection de la vie privée.
- Établir une approche réglementaire des échanges et du commerce en matière de systèmes d’intelligence artificielle basés sur la gestion du risque.
Cependant, ces restrictions excluent l’utilisation des renseignements personnels dans les cas suivants :
- Le transfert des renseignements personnels à des fournisseurs de services.
- L’utilisation des renseignements personnels à des fins de recherche interne, d’analyse, de développement s’ils sont dépersonnalisés avant son utilisation.
- L’utilisation des renseignements personnels uniquement reliés à des activités d’affaires dans un contexte où une personne raisonnable devrait s’attendre à cet usage. Ces renseignements ne doivent pas être utilisés ou communiqués pour influencer le comportement ou les décisions de l’individu.
Comprendre la Loi 25 et ses répercussions
La Loi 25 (précédemment connu sous le projet de Loi no 64) impose de nouvelles exigences strictes aux organismes publics et privés en matière de collecte, d’utilisation et de protection des renseignements personnels et en matière d’intégrité des documents électroniques.
Cette réforme force les dirigeants d’entreprises à porter l’entière responsabilité quant à la confidentialité des données. Des sanctions peuvent donc leur être imposées en cas d’atteinte sérieuse à la vie privée.
De plus, la Loi sur la protection des renseignements personnels introduit la notion de « donner son consentement valide » préalable à la collecte, l’utilisation ou la communication des renseignements personnels. C’est un plaidoyer en faveur de l’anonymisation des renseignements et d’un meilleur contrôle des consommateurs sur leurs propres données.
– – –
Certaines des premières obligations qui sont entrées en vigueur le 22 septembre 2022 incluent les suivantes :
Imputabilité accrue
La plus haute autorité de l’entreprise (généralement le chef de la direction) est la personne responsable de protéger la confidentialité. Il doit s’assurer de l’implantation de la nouvelle loi. Cette disposition inclut l’obligation d’aviser la Commission d’accès à l’information (CAI) de tout incident ou toute atteinte à la vie privée. Le CAI est l’entité responsable d’appliquer la nouvelle Loi 25 au Québec.
Sanctions
La CAI peut imposer des sanctions administratives pécuniaires pour non-respect de la loi. La peine maximale est de 10 millions de dollars ou de 2 % des recettes globales brutes de l’organisation. Dans le cas d’une poursuite pénale, la peine maximale est de 25 millions de dollars ou 4 % des recettes globales brutes de l’organisation.
Droits accrus
La Loi 25 impose des directives strictes aux compagnies qui utilisent les données de leurs clients. À partir de 2023, les individus qui auront fait l’objet d’une décision prise par système décisionnel automatisé auront le droit de demander des explications à propos de ladite décision. Les individus doivent être en mesure d’utiliser cette information pour s’opposer à la décision prise par système décisionnel automatisé, le cas échéant.
– – –
Certaines des obligations qui sont entrées en vigueur le 22 septembre 2023 incluent les suivantes :
Anonymisation
L’anonymisation, telle que définie par la Loi 25, implique l’élimination des identifiants directs et indirects qui dépassent un seuil « important ». Les identifiants « directs » sont les coordonnées, par exemple, alors que les identifiants « indirects » sont, par exemple, les informations sur le genre.
Consentement
Les compagnies qui offrent des produits ou des services technologiques qui comprennent des paramètres sur les renseignements privés (comme les téléphones et les tablettes) doivent désormais s’assurer que ces paramètres sont réglés par défaut sur le plus haut niveau de confidentialité, sans intervention requise du consommateur.