Le Cadre de protection des consommateurs de produits et services financiers entrera en vigueur le 30 juin 2022, soit plus de trois ans après que le projet de loi C-86 a été déposé au Parlement. Ce cadre fédéral consolide et renforce les dispositions de protection des consommateurs de la Loi sur les banques applicables aux banques et modifie la Loi sur l’Agence de la consommation en matière financière du Canada de manière à renforcer le rôle de l’Agence de la consommation en matière financière du Canada (ACFC) et à augmenter ses pouvoirs.
Le cadre accroîtra considérablement la quantité de renseignements personnels des clients détenus par les banques, et donc leurs obligations à l’égard de ces renseignements. En effet, ces changements semblent prouver l’opinion de Chris Skinner, qui affirme que les banques devraient passer du rôle de gardiens de l’argent à celui de gardiens de données1.
Le présent article examine les incidences sur la protection des renseignements personnels des aspects suivants du cadre :
Les exigences imposées par le cadre ne remplacent pas les lois sur la protection de la vie privée fédérales ou provinciales. Par conséquent, même lorsqu’elles se conforment aux exigences du cadre, les banques devront continuer à faire ce qui suit :
En règle générale, une banque dotée de programmes complets de protection des renseignements personnels et de gouvernance des données ne devrait pas avoir à mettre en place des processus totalement nouveaux ou différents pour se conformer au cadre. Après tout, les banques recueillent, utilisent et conservent déjà des quantités importantes de données extrêmement sensibles. Cependant, les banques devraient quand même examiner en détail les exigences du cadre en regard de leurs politiques, procédures et systèmes existants pour déterminer les changements qui devraient y être apportés afin de se conformer au projet de loi C-86 et à la réglementation en matière de protection de la vie privée.
Le cadre exige qu’une banque « se dote d’une politique et établit une marche à suivre pour veiller à ce que les produits ou services au Canada conviennent à la personne physique à laquelle ils sont offerts ou vendus par elle à des fins autres que commerciales, compte tenu de la situation, notamment des besoins financiers, de cette personne et met en œuvre cette politique et cette marche à suivre »6.
Cette obligation est expliquée plus en détail dans la Ligne directrice sur les produits et les services convenables pour les banques de l’ACFC, selon laquelle :
« La politique et la marche à suivre d’une banque devraient permettre de veiller à ce que la banque recueille et consigne les renseignements relatifs à son obligation de connaître les consommateurs dont elle a besoin pour comprendre leur situation, et ce, afin d’être en mesure d’évaluer si les produits et les services qu’elle leur offre ou leur vend leur conviennent. La nature des renseignements que la banque devra recueillir et consigner dépendra de la situation des consommateurs, notamment de leurs besoins financiers, et des produits ou des services qui leur sont offerts ou vendus. »
Il n’est cependant pas clair auprès de quelles sources et de quelle façon les banques peuvent recueillir les renseignements requis concernant les clients pour déterminer si le produit ou le service leur convient. Une banque peut-elle, par exemple, se fonder sur les renseignements qu’elle possède déjà? Les banques ont-elles le droit d’obtenir des renseignements auprès de sources externes telles que les médias sociaux ou des tiers et de se fonder sur ceux-ci?
Dans tous ces cas, la banque doit s’assurer que le client a consenti à ce qu’elle utilise ses renseignements pour l’évaluation du caractère convenable. Dans le cas contraire, elle doit obtenir un nouveau consentement à cet effet.
Lorsqu’elles révisent leurs clauses de consentement ou en rédigent de nouvelles, les banques doivent veiller à ce que l’étendue de l’utilisation des données qui y est indiquée soit raisonnable. Une utilisation raisonnable signifie qu’il existe un objectif d’affaires défini et que les renseignements personnels recueillis sont nécessaires pour atteindre cet objectif. Il pourrait être utile d’étayer sur des documents le fait que, pour évaluer le caractère convenable du produit ou du service, la banque pourrait obtenir d’une source externe des renseignements manquants ou qui ne peuvent être obtenus auprès du client. En étayant sur des documents la façon dont les renseignements pourraient être obtenus auprès de sources internes ou externes et les raisons pour ce faire, la banque pourrait mieux se défendre si on lui reproche d’avoir recueilli des renseignements personnels de façon excessive ou sans en avoir besoin.
Les banques devraient mettre en œuvre les contrôles requis pour s’assurer que les données utilisées dans le cadre de l’évaluation du caractère convenable sont exactes, particulièrement si ces données proviennent de sources externes telles que les médias sociaux.
Comme nous l’avons mentionné, les nouvelles exigences en matière de gestion des plaintes imposées par le cadre ont plusieurs répercussions liées à la protection des renseignements personnels.
La première a trait au dossier très détaillé que les banques devront créer et maintenir pour chaque plainte. Cette exigence de tenue de dossier représente un risque lié à la protection des renseignements personnels, car les banques devront recueillir beaucoup de renseignements nouveaux et sensibles dans le cadre de l’enquête sur la plainte et de l’examen de celle-ci7. Les banques devront s’assurer que cette information est utilisée uniquement aux fins pour lesquelles elle a été recueillie (c.-à-d. enquêter et répondre à la plainte). Pour ce faire, il faut bien étiqueter ou classer les renseignements et envisager des mesures telles que la conservation des données dans un lieu distinct.
Le cadre exige également que les tiers qui vendent des produits de la banque ou en font la promotion donnent aux clients un accès aux procédures d’examen des plaintes de la banque comme si le produit ou le service avait été obtenu de la banque8. Il est probable que dans le cadre d’une enquête sur une plainte concernant un produit vendu par un tiers, une banque demande à ce dernier de lui communiquer des renseignements sur le client. Le tiers pourrait affirmer qu’il ne peut communiquer les renseignements sur le client au motif que cela porterait atteinte à la vie privée du client ou que cela violerait les lois sur la protection de la vie privée. Dans la plupart des cas, il devrait généralement être possible d’écarter ces objections, puisque les lois sur la protection de la vie privée n’interdisent pas en soi la communication de l’information. Cependant, les banques pourraient modifier leurs ententes de distribution pour y ajouter une obligation pour les tiers d’obtenir le consentement du plaignant pour communiquer ses renseignements à la banque.
En plus d’enquêter sur les plaintes et d’y répondre, les banques doivent également conserver tous les dossiers relatifs aux plaintes pendant sept ans9. Comme nous l’avons mentionné, il est probable que les dossiers relatifs aux plaintes contiennent des renseignements de diverses sources internes et externes et pourraient contenir des renseignements confidentiels de la banque ou d’un tiers ou des renseignements sensibles sur le plaignant ou d’autres personnes (p. ex. dans des enregistrements d’appels). Puisque ces dossiers doivent être conservés pendant au moins sept ans, il faut élaborer et mettre en place des politiques et procédures de sécurité et de conservation de dossiers appropriées pour réduire les risques d’atteinte à la sécurité de ces dossiers. Il pourrait être plus facile de mettre en œuvre ces contrôles (obligations de préservation de la preuve, exigences de destruction, etc.)10 si les dossiers relatifs aux plaintes sont conservés séparément.
Même si les dossiers relatifs aux plaintes ne représentent pas de nouveaux enjeux liés à la conservation des dossiers, les banques devraient quand même s’assurer que :
Tous les trimestres, les banques doivent soumettre au commissaire de l’ACFC une copie du dossier12 transmis au niveau désigné13. Même si l’information concernant la plainte que les banques soumettent à l’ACFC pourrait faire l’objet de demandes d’accès à l’information, nous nous attendons à ce que l’ACFC rejette ces demandes au motif que cette information est protégée par l’article 17 de la Loi sur l’ACFC14. Toutefois, si l’ACFC accepte la demande d’accès à l’information, les banques devront caviarder les renseignements sensibles contenus dans le dossier avant de transmettre celui-ci en réponse à la demande.
Bien que les dossiers trimestriels relatifs aux plaintes soumis par les banques soient fort probablement protégés, l’ACFC devra quand même publier un rapport annuel sur les plaintes qui contiendra un sommaire des renseignements fournis par les banques15.
Le projet de loi C-86 a modifié la Loi sur l’ACFC en y ajoutant deux critères pour déterminer le montant de la sanction administrative pécuniaire en cas de violation :
L’ajout du critère de durée souligne l’importance pour les banques d’élaborer des politiques de conservation de données explicites qui mentionnent les exigences réglementaires en matière de conservation et les obligations de préservation de la preuve. Si une banque ne respecte pas ces politiques, elle pourrait difficilement se défendre en cas de suppression de renseignements. Les banques pourraient notamment adopter les mesures suivantes :
Si vous souhaitez discuter ces enjeux et ces questions, veuillez contacter les auteurs.
Cette publication se veut une discussion générale concernant certains développements juridiques ou de nature connexe et ne doit pas être interprétée comme étant un conseil juridique. Si vous avez besoin de conseils juridiques, c'est avec plaisir que nous discuterons les questions soulevées dans cette communication avec vous, dans le cadre de votre situation particulière.
Pour obtenir la permission de reproduire l’une de nos publications, veuillez communiquer avec Janelle Weed.
© Torys, 2024.
Tous droits réservés.