24 | FINANCEETINVESTISSEMENT TECHNOLOGIESFINANCIÈRES Mars2020 Une année clé pour la protection des données
   Québec et Ottawa imposeront des règles plus strictes.
PAR ALIZÉE CALZA
la protection des rensei-
gnements personnels a marqué l’actualité financière au cours des derniers mois. Tant le gouverne- ment fédéral que celui du Québec entendent en faire une de leurs priorités en 2020, et mieux conju- guer leurs actions à ce chapitre.
À la fin de 2019, le premier mi- nistre Justin Trudeau a fait part de ses attentes à propos de la mise en place de la Charte canadienne du numérique.
À Québec, la ministre de la Justice, Sonia LeBel, a confir- mé récemment son intention de présenter un projet de loi afin de moderniser la Loi sur la protec- tion des renseignements person- nels du Québec. Celle-ci date des années 1980 et 1990, et n’a pas été modifiée de façon sensible depuis 2006.
« L’année 2020 devrait donc constituer une année charnière en matière de protection des renseignements personnels, tant au fédéral qu’au provin- cial », peut-on lire dans un texte de réflexion publié sur le site de Langlois avocats.
DAVANTAGE DE TRANSPARENCE
Depuis novembre 2018, la plupart des intervenants de l’in- dustrie financière doivent déjà notifier toute atteinte à la sécu- rité qui entraînerait une brèche de la confidentialité des ren- seignements personnels à l’Au- torité des marchés financiers (AMF), au Bureau du surinten- dant des institutions financières
ou à l’Organisme canadien de réglementation du commerce des valeurs mobilières (OCRCVM).
Cette obligation est ins- crite à la loi fédérale, sauf que celle-ci ne s’applique pas au Québec (ni en Alberta et en Colombie-Britannique). Tou- tefois, le Québec a déjà annon- cé que cette disposition serait intégrée à la loi québécoise, précise Jean-François De Rico, associé chez Langlois avocats, en entrevue avec Finance et Investissement.
La loi devrait également exiger de notifier ces brèches aux princi- paux intéressés, soit les consom- mateurs, ce qui est nouveau.
EXIGENCES PLUS PRÉCISES
En ce moment, la loi exis- tante prévoit qu’il faut obtenir le consentement de la personne concernée pour utiliser ses don- nées sans préciser la teneur de
qu’une entreprise supprime les données qu’elle a sur eux.
Jean-François De Rico es- père qu’il y aura des précisions concernant les données anony- misées, afin qu’elles ne soient plus considérées comme des ren- seignements personnels. Cela se- rait avantageux pour l’analytique de données.
SANCTIONS PLUS SÉVÈRES
« On s’attend également à ce que des pouvoirs accrus d’en- quête et de sanction soient ac- cordés à la Commission d’accès à l’information du Québec », affirme Jean-François De Rico.
Actuellement, la Loi sur la pro- tection des renseignements per- sonnels dans le secteur privé pré- voit des sanctions en cas d’infrac- tion, mais la ministre a annoncé qu’elle étudiait la possibilité d’ap- pliquer des sanctions plus « signi- ficatives », précise l’avocat.
Difficile d’en envisager la teneur. Est-ce
cer les organisations à mettre en place de meilleures mesures de sécurité.
Selon Jean-François De Rico, ces sanctions devraient contribuer à limiter le nombre de fraudes, comme celle dont a été victime le Mouvement Desjardins.
«En ce moment, il y a une obli- gation qui tient sur une ligne ou deux dans la loi : déployer des mesures de sécurité appropriées. On peut s’attendre à ce qu’il y ait certaines précisions par voie ré- glementaire », dit l’avocat.
«Et le meilleur moyen de dis- cipliner une industrie ou une ac- tivité, c’est la peur des sanctions financières, ajoute-t-il. Ça va cer- tainement inciter les organisa- tions à déployer plus de moyens ou à s’assurer qu’elles déploient des moyens adéquats. »
TRANSFERT DE DONNÉES
La modernisation législative se- rait également importante pour le transfert de données personnelles hors juridiction. Selon le principe du transfert, une organisation devrait pouvoir faire affaire avec une organisation d’une autre ju- ridiction du moment qu’il y a une forme d’adéquation des lois.
Entre le Canada et l’Europe, il existe une certaine adéquation. Toutefois, entre l’Europe et le Québec, certains principes sont manquants.
«Il peut tout de même y avoir des échanges avec l’Europe s’il n’y a pas d’adéquation, mais ça met du sable dans l’engrenage, car il faut prévoir des disposi- tions contractuelles supplémen- taires ou utiliser ce qu’on appelle des clauses standards », précise Jean-François De Rico.
En s’alignant sur certains éléments du règlement géné- ral, cela favorise les échanges commerciaux.
Si nombre d’institutions finan- cières sont assujetties à certaines obligations légales de protection de l’information, cela n’est pas forcément le cas de leurs fournis- seurs de services ou de techno- logies, ou même des consultants qui les aident à gérer les bases de données, souligne Jean-François De Rico.
«Il y a beaucoup d’organi- sations dans l’écosystème qui manquent de maturité et de ro- bustesse sur le plan de la protec- tion des renseignements person- nels », ajoute-t-il.
Une nouvelle loi devrait prévoir que les obligations des intermé- diaires soient alignées sur celles des institutions financières.
MISE À NIVEAU COMPLEXE
La mise à niveau ne se fera pas aisément. Beaucoup d’organisa- tions ne savent pas exactement ce qu’elles contrôlent en matière de données personnelles, car entre- poser des données n’est pas très complexe ni coûteux.
Il y a fort à parier que si des lois plus strictes sont adop- tées, nombre d’organisations réduiront la collecte de rensei- gnements personnels afin de diminuer leurs risques, estime Jean-François De Rico.
Certaines organisations pei- neront à se mettre à niveau, de sorte que certaines pourraient même être forcées de se retirer du marché. Toutefois, la ques- tion de la sécurité n’est pas nouvelle ; de nombreux acteurs exigent déjà des engagements plus spécifiques en matière de protection des renseignements personnels.
«Chose certaine, ça va requérir davantage d’hygiène organisa- tionnelle en matière de conserva- tion des données qui comportent des renseignements personnels », conclut Jean-François De Rico. FI
  Le meilleur moyen de discipliner une industrie ou une activité, c’est la peur des sanctions financières.
qu’elles pour- raient s’inspi- rer de certaines dispositions de
 celui-ci, sauf pour certaines dé- cisions. Les nouvelles lois pour- raient changer cela.
Par exemple, on peut s’at- tendre à davantage d’indications concernant la durée de conserva- tion des données. Actuellement, celle-ci n’est pas déterminée, mais déterminable en fonction d’un critère, celui de la durée de l’utilisation qui est énoncée au moment de la collecte.
La question de la suppres- sion des données devrait égale- ment être considérée. Ainsi, les consommateurs auront possi- blement le droit de demander
peut imposer des sanctions financières établies en fonction d’un pourcentage du chiffre d’affaires de l’organisation
touchée par la brèche.
« C’est intelligent, car ça per-
met d’avoir une mesure qui a un caractère proportionnel. La proportionnalité, ça peut vouloir dire ne pas écraser une fourmi avec un bulldozer, mais ça veut aussi dire de ne pas donner une pichenette à un géant », souligne Jean-François De Rico.
Il n’est pas dit que le provin- cial ou le fédéral ira dans ce sens, mais la loi devrait faire preuve de plus de mordant, afin de for-
—Jean-FrançoisDeRico européenne ?
Commission
la
En Europe, on
   Les fintechs devraient être mieux encadrées
Épargner et investir en quelques clics...
PAR ALIZÉE CALZA
les promesses des fintechs
sont attrayantes, mais ces entre- prises ne sont pas suffisamment encadrées pour bien protéger les consommateurs, selon Option consommateurs.
C’est la conclusion à laquelle est arrivé l’organisme sans but lucratif après avoir analysé les sites et les documents légaux de trois fintechs canadiennes : Mylo (qui arrondit les dépenses des consommateurs et permet d’investir la petite monnaie), Wealthsimple et Portefeuille futé BMO (deux plateformes numériques d’épargne et d’investissement).
Ces trois fintechs mettent l’accent sur la simplicité du processus et la vitesse d’exécu- tion. Pourtant, les placements demandent une certaine compréhension et de la vigilance
de la part du consommateur, souligne Option consomma- teurs dans son rapport intitulé « Épargner et investir en utilisant les FinTech – Comment concilier l’innovation et la protection des consommateurs ? ».
« En multipliant les moyens d’attirer le client, on risque de détourner son attention de l’in- formation, qui n’est pourtant pas absente des sites étudiés», note l’organisme.
PRATIQUES DISCUTABLES
Option consommateurs a également examiné la question de la responsabilité en cas de li- tige. Ici, la situation est pour le moins floue et inquiétante. Bien que les robots-conseillers aient les mêmes obligations qu’un conseiller, d’autres dispositions, touchant notamment les consen- tements et les recours, sont plus problématiques.
Les contrats sont truffés de clauses qui sont liées au règle- ment des litiges. Par exemple, Wealthsimple mentionne que les parties doivent se soumettre
aux décisions des tribunaux de Toronto pour le règlement des litiges.
Pour sa part, la convention de Mylo contient une clause d’ar- bitrage obligatoire dans la pro- vince ou le territoire de résidence du client. Il est toutefois précisé que cette clause n’est pas appli- cable au Québec, signale Option consommateurs.
Mylo garantit également que ses services sont conformes aux normes de l’industrie, mais ajoute que le seul recours du client en cas de manquement à cette obli- gation est de résilier le contrat de service. « Cette clause, qui prive l’investisseur de ses recours, ne semble pas conforme au droit et, de toute façon, pourrait peut-être être qualifiée d’abusive au sens du Code civil du Québec», note Option consommateurs.
Parfois, il lui suffit de consul- ter le site de la fintech pour que l’utilisateur accepte les disposi- tions légales.
Option consommateurs note également un manque de pré- cision. Certaines clauses ne
s’appliquent pas à tous les terri- toires. Plutôt que d’indiquer les provinces ou pays où une clause ne s’applique pas, on mentionne seulement qu’elle «pourrait ne pas s’appliquer dans votre province de résidence ».
« Dans certains cas, on peut se demander si l’absence de préci- sion en ce qui a trait aux types de placements offerts et aux entre- prises liées, combinée à la vitesse d’exécution ne pourrait pas em- pêcher un consentement éclairé », souligne le rapport.
« Cette impression est renfor- cée par des pratiques qui nous semblent plus que discutables, comme affirmer que l’utilisation des services par le consommateur représente une acceptation tacite, ou indiquer que la politique peut changer à tout moment sans que le consommateur en soit infor- mé», ajoute le rapport.
PROBLÈME DE SÉCURITÉ
Les fintechs demandent aux clients de leur fournir des rensei- gnements personnels et les in- vitent à être prudents en matière
de sécurité informatique. Mais si le client n’est pas jugé assez pru- dent, il peut perdre toute indem- nité en cas de pertes financières directes découlant d’une transac- tion non autorisée au compte.
Portefeuille futé BMO, qui men- tionne offrir une garantie de sé- curité en lien avec le service, pré- cise que le client sera indemnisé à condition qu’il possède «la version la plus récente des pare-feu et des logiciels antivirus », ou qu’il n’ait pas omis «de fermer sa séance et le navigateur Internet » avant de quitter le site.
«Dans certains cas, le consom- mateur ne peut même pas se fier à l’information qui se trouve sur le site Web de l’entreprise, qui se dégage d’ailleurs de toute respon- sabilité concernant ce qui y est publié», déplore Maryse Guénette, auteure du rapport.
Option consommateurs s’in- quiète aussi du faux sentiment de sécurité que ces technologies pro- jettent. « Le robot-conseiller n’est pas à l’abri d’une manipulation malveillante, par voie de piratage ou de sabotage. » FI