Protection des données personnelles: comment éviter les dérives?

Offert par Les Affaires


Édition du 25 Août 2018

Protection des données personnelles: comment éviter les dérives?

Offert par Les Affaires


Édition du 25 Août 2018

Par Richard Cloutier

Les entreprises consiste à satisfaire leur obligation d’énoncer clairement ce qu’elles vont faire des renseignements personnels récoltés. [Photo: 123RF]

L’évolution technologique et l’émergence de nouveaux acteurs dans le secteur financier obligent les législateurs et les régulateurs à remettre en question les pratiques traditionnelles en matière de gestion, d’utilisation et de protection des données personnelles.


À mesure que l’écosystème financier adopte les technologies, il se concentre sur les données, tant dans leur valeur stratégique que dans la façon dont elles sont traitées et protégées.


Ainsi, « la fourniture de produits de paiement, de crédit, d’assurance et d’investissement dépend du stockage, du traitement et de la transmission d’éléments de données qui représentent des actifs et des passifs financiers, ainsi que des informations sensibles sur les clients », constate l’Institute of International Finance (IIF), dans un rapport publié le 6 juillet 2018.  


À cet égard, le défi pour les entreprises consiste à satisfaire leur obligation d’énoncer clairement ce qu’elles vont faire des renseignements personnels récoltés.


« Historiquement,  beaucoup de clauses de consentement étaient : “ou pour toute autre utilisation en lien avec la recherche, l’optimisation de nos services, l’amélioration de nos processus », donc étaient des fourre-tout permettant d’englober beaucoup d’utilisations qui, au moment de la collecte, demeuraient ésotériques et indéterminées », indique Jean-François de Rico, associé chez Langlois avocats.


Aujourd’hui, cette réalité pose un défi aux institutions financières désirant faire affaire avec une fintech. Par exemple, si elle veut lui communiquer des renseignements personnels tirés de sa base de données afin d’alimenter le développement d’un algorithme propulsé par l’intelligence artificielle dans le but de faire du profilage, est-ce que le consentement des clients obtenu au départ est suffisant ?


De même, comment l’obligation de la durée de conservation des données, qui doit prendre fin au moment où il n’y a plus d’utilisation requise, se matérialise-t-elle si les données sont anonymisées pour nourrir des algorithmes de l’intelligence artificielle ? D’autant plus, signale Jean-François de Rico, qu’il y a beaucoup de démonstrations dans l’histoire récente selon lesquelles il est impossible d’anonymiser les données de façon complète. 


Quant à la blockchain, il estime que « si le principe d’un registre distribué est son caractère indélébile et le maintien de son intégrité, il faut que le développement des couches applicatives utilisées permette d’isoler les renseignements personnels afin de se prémunir d’une atteinte à la confidentialité ou à la disponibilité ».


Que dit la réglementation ?


À la suite du scandale Facebook/Cambridge Analytica, l’Europe a remplacé en mai 2018 sa directive sur la protection des données personnelles, qui datait de 1995, par le Règlement général sur la protection des données (RGPD).


En plus de reprendre les principes de protection des renseignements personnels déjà en vigueur, y compris le consentement de la personne concernée ou le droit d’accéder à ses données personnelles, le RGPD a créé de nouveaux droits, dont « le droit au déréférencement et le droit à la portabilité des données », selon la Commission d’accès à l’information du Québec.


Aux États-Unis, la Californie a emboîté le pas en adoptant le California Consumer Privacy Act, qui vise à protéger les données personnelles collectées par les entreprises et à permettre aux consommateurs de refuser qu’on les utilise à des fins commerciales. 


Au Canada, la protection des renseignements personnels est encadrée par deux régimes, le fédéral et le provincial, alors que trois provinces, dont le Québec, ont adopté leur propre loi.


« Les deux niveaux de régime prévoient des règles bien précises liées à la collecte, à l’utilisation, à la communication, à la sécurité et à la destruction des renseignements personnels, mais sans avoir toujours le même degré d’obligations », précise Nicolas Vermeys, professeur agrégé à la faculté de droit de l’Université de Montréal.  


Pour leur part, les régulateurs comme l’Autorité des marchés financiers (AMF) précisent dans leurs règlements les attentes particulières qu’ils ont envers les entreprises qu’ils encadrent concernant, par exemple, la cybersécurité et l’utilisation des médias sociaux.


« Les inscrits ont une responsabilité de mettre en place une politique et des procédures qui correspondent de façon proportionnelle au niveau de risque que la cybersécurité représente pour eux », confirme Moad Fahmi, directeur fintech et innovation, à l’AMF. 


Selon lui, toutefois, la question de la protection des données est présente dans toutes les sphères de la société, et si pour l’AMF, « en matière financière, la cybersécurité est une question vraiment cruciale, elle transcende notre mandat et soulève des questions qui deviennent sociétales et qui méritent des discussions plus larges sur ce que l’on veut dans notre futur à mesure que notre vie se numérise ».


Jean-François de Rico constate une tendance forte vers la reconnaissance d’un droit de déréférencement, « une tendance qui va être difficile à renverser et qui va créer des défis technologiques significatifs ».


CLIQUEZ ICI POUR CONSULTER LE DOSSIER «NOUVELLES FRONTIÈRES DE LA RÉGULATION FINANCIÈRE»


image

Sécurité alimentaire

Mardi 13 novembre


image

Expérience client

Mercredi 14 novembre


image

Communication interne

Mardi 27 novembre


image

Gestion de la formation

Mercredi 05 décembre


image

Intelligence artificielle

Mercredi 05 décembre


image

Santé psychologique

Mardi 22 janvier


image

Contrats publics

Mardi 22 janvier


image

Sommet Énergie

Mardi 29 janvier


image

Financement PME

Mercredi 30 janvier


image

Sécurité alimentaire

Mercredi 06 février


image

Science des données

Mardi 12 février

DANS LE MÊME DOSSIER

Sur le même sujet

Marijuana, attention au mirage…

09/10/2018 | Nicolas Duvernois

BLOGUE INVITÉ. Je ne crois aucunement aux espoirs de succès des petits et moyens joueurs qui espèrent faire fortune.

Un excédent cumulatif de 4,4 milliards $ pour Ottawa

En comparaison, le gouvernement avait affiché un déficit de 100 millions $ pour les mois d’avril à juillet de 2017.

À la une

Les pros sont encore plus prudents

Découvrez comment les gestionnaires avaient échafaudé leur portefeuille à l'arrivée de l'automne.

La santé publique se prépare à la légalisation du cannabis

15/10/2018 | AFP

L'entrée en vigueur de la légalisation du cannabis suscite toujours de vives inquiétudes.

Pas un jeu d'enfant, les enjeux légaux reliés au cannabis

Édition du 06 Octobre 2018 | Simon Lord

Malgré la légalisation, les producteurs ne sont pas à court d'aspects légaux à comprendre.