T2 | Revue Trimestrielle de TorysPrintemps 2022

Protéger les données personnelles des clients conformément au Cadre de protection des consommateurs de produits et services financiers

Le Cadre de protection des consommateurs de produits et services financiers entrera en vigueur le 30 juin 2022, soit plus de trois ans après que le projet de loi C-86 a été déposé au Parlement. Ce cadre fédéral consolide et renforce les dispositions de protection des consommateurs de la Loi sur les banques applicables aux banques et modifie la Loi sur l’Agence de la consommation en matière financière du Canada de manière à renforcer le rôle de l’Agence de la consommation en matière financière du Canada (ACFC) et à augmenter ses pouvoirs.

 
Le cadre accroîtra considérablement la quantité de renseignements personnels des clients détenus par les banques, et donc leurs obligations à l’égard de ces renseignements. En effet, ces changements semblent prouver l’opinion de Chris Skinner, qui affirme que les banques devraient passer du rôle de gardiens de l’argent à celui de gardiens de données1.

Le présent article examine les incidences sur la protection des renseignements personnels des aspects suivants du cadre :

  • L’établissement et la mise en œuvre de politiques et de procédures pour veiller à ce que les produits ou services offerts ou vendus par les banques et leurs intermédiaires conviennent à la personne physique à laquelle ils sont offerts ou vendus, compte tenu de la situation, notamment des besoins financiers, de cette personne2.
  • L’établissement d’un mécanisme de gestion des plaintes qui oblige les banques :
    • à créer un dossier complet de toutes les plaintes et à le conserver pendant sept ans3;
    • à soumettre à l’ACFC tous les dossiers relatifs aux plaintes reçues par un préposé désigné4.
  • L’ajout d’un critère relatif à la « durée » pour déterminer le montant de la sanction administrative pécuniaire en cas de violation5.

Exigences des lois sur la protection de la vie privée

Les exigences imposées par le cadre ne remplacent pas les lois sur la protection de la vie privée fédérales ou provinciales. Par conséquent, même lorsqu’elles se conforment aux exigences du cadre, les banques devront continuer à faire ce qui suit :

  • obtenir un consentement valable lorsqu’elles recueillent, utilisent, conservent ou communiquent (traitent) des renseignements personnels;
  • utiliser ou traiter d’une autre façon les données uniquement aux fins pour lesquelles elles ont été recueillies ou, si les données sont utilisées à de nouvelles fins, obtenir un nouveau consentement à cet égard;
  • communiquer les renseignements requis par la loi à moins d’avoir une dispense qui limite ou annule cette exigence.

En règle générale, une banque dotée de programmes complets de protection des renseignements personnels et de gouvernance des données ne devrait pas avoir à mettre en place des processus totalement nouveaux ou différents pour se conformer au cadre. Après tout, les banques recueillent, utilisent et conservent déjà des quantités importantes de données extrêmement sensibles. Cependant, les banques devraient quand même examiner en détail les exigences du cadre en regard de leurs politiques, procédures et systèmes existants pour déterminer les changements qui devraient y être apportés afin de se conformer au projet de loi C-86 et à la réglementation en matière de protection de la vie privée.

S’assurer que les produits ou services conviennent au consommateur

Le cadre exige qu’une banque « se dote d’une politique et établit une marche à suivre pour veiller à ce que les produits ou services au Canada conviennent à la personne physique à laquelle ils sont offerts ou vendus par elle à des fins autres que commerciales, compte tenu de la situation, notamment des besoins financiers, de cette personne et met en œuvre cette politique et cette marche à suivre »6.

Cette obligation est expliquée plus en détail dans la Ligne directrice sur les produits et les services convenables pour les banques de l’ACFC, selon laquelle :

« La politique et la marche à suivre d’une banque devraient permettre de veiller à ce que la banque recueille et consigne les renseignements relatifs à son obligation de connaître les consommateurs dont elle a besoin pour comprendre leur situation, et ce, afin d’être en mesure d’évaluer si les produits et les services qu’elle leur offre ou leur vend leur conviennent. La nature des renseignements que la banque devra recueillir et consigner dépendra de la situation des consommateurs, notamment de leurs besoins financiers, et des produits ou des services qui leur sont offerts ou vendus. »

Il n’est cependant pas clair auprès de quelles sources et de quelle façon les banques peuvent recueillir les renseignements requis concernant les clients pour déterminer si le produit ou le service leur convient. Une banque peut-elle, par exemple, se fonder sur les renseignements qu’elle possède déjà? Les banques ont-elles le droit d’obtenir des renseignements auprès de sources externes telles que les médias sociaux ou des tiers et de se fonder sur ceux-ci?

Dans tous ces cas, la banque doit s’assurer que le client a consenti à ce qu’elle utilise ses renseignements pour l’évaluation du caractère convenable. Dans le cas contraire, elle doit obtenir un nouveau consentement à cet effet.

Lorsqu’elles révisent leurs clauses de consentement ou en rédigent de nouvelles, les banques doivent veiller à ce que l’étendue de l’utilisation des données qui y est indiquée soit raisonnable. Une utilisation raisonnable signifie qu’il existe un objectif d’affaires défini et que les renseignements personnels recueillis sont nécessaires pour atteindre cet objectif. Il pourrait être utile d’étayer sur des documents le fait que, pour évaluer le caractère convenable du produit ou du service, la banque pourrait obtenir d’une source externe des renseignements manquants ou qui ne peuvent être obtenus auprès du client. En étayant sur des documents la façon dont les renseignements pourraient être obtenus auprès de sources internes ou externes et les raisons pour ce faire, la banque pourrait mieux se défendre si on lui reproche d’avoir recueilli des renseignements personnels de façon excessive ou sans en avoir besoin.

Les banques devraient mettre en œuvre les contrôles requis pour s’assurer que les données utilisées dans le cadre de l’évaluation du caractère convenable sont exactes, particulièrement si ces données proviennent de sources externes telles que les médias sociaux.

Processus d’examen des plaintes

Comme nous l’avons mentionné, les nouvelles exigences en matière de gestion des plaintes imposées par le cadre ont plusieurs répercussions liées à la protection des renseignements personnels.

La première a trait au dossier très détaillé que les banques devront créer et maintenir pour chaque plainte. Cette exigence de tenue de dossier représente un risque lié à la protection des renseignements personnels, car les banques devront recueillir beaucoup de renseignements nouveaux et sensibles dans le cadre de l’enquête sur la plainte et de l’examen de celle-ci7. Les banques devront s’assurer que cette information est utilisée uniquement aux fins pour lesquelles elle a été recueillie (c.-à-d. enquêter et répondre à la plainte). Pour ce faire, il faut bien étiqueter ou classer les renseignements et envisager des mesures telles que la conservation des données dans un lieu distinct.

Le cadre exige également que les tiers qui vendent des produits de la banque ou en font la promotion donnent aux clients un accès aux procédures d’examen des plaintes de la banque comme si le produit ou le service avait été obtenu de la banque8. Il est probable que dans le cadre d’une enquête sur une plainte concernant un produit vendu par un tiers, une banque demande à ce dernier de lui communiquer des renseignements sur le client. Le tiers pourrait affirmer qu’il ne peut communiquer les renseignements sur le client au motif que cela porterait atteinte à la vie privée du client ou que cela violerait les lois sur la protection de la vie privée. Dans la plupart des cas, il devrait généralement être possible d’écarter ces objections, puisque les lois sur la protection de la vie privée n’interdisent pas en soi la communication de l’information. Cependant, les banques pourraient modifier leurs ententes de distribution pour y ajouter une obligation pour les tiers d’obtenir le consentement du plaignant pour communiquer ses renseignements à la banque.

Le cadre accroîtra considérablement la quantité de renseignements personnels des clients détenus par les banques, et donc leurs obligations à l’égard de ces renseignements.

En plus d’enquêter sur les plaintes et d’y répondre, les banques doivent également conserver tous les dossiers relatifs aux plaintes pendant sept ans9. Comme nous l’avons mentionné, il est probable que les dossiers relatifs aux plaintes contiennent des renseignements de diverses sources internes et externes et pourraient contenir des renseignements confidentiels de la banque ou d’un tiers ou des renseignements sensibles sur le plaignant ou d’autres personnes (p. ex. dans des enregistrements d’appels). Puisque ces dossiers doivent être conservés pendant au moins sept ans, il faut élaborer et mettre en place des politiques et procédures de sécurité et de conservation de dossiers appropriées pour réduire les risques d’atteinte à la sécurité de ces dossiers. Il pourrait être plus facile de mettre en œuvre ces contrôles (obligations de préservation de la preuve, exigences de destruction, etc.)10 si les dossiers relatifs aux plaintes sont conservés séparément.

Même si les dossiers relatifs aux plaintes ne représentent pas de nouveaux enjeux liés à la conservation des dossiers, les banques devraient quand même s’assurer que :

  • les situations où une obligation de préservation de la preuve devrait être imposée (p. ex. si le client dépose une plainte officielle auprès de l’ACFC) sont définies dans les politiques applicables;
  • la période de conservation de sept ans pour les dossiers relatifs aux plaintes est communiquée de façon appropriée, particulièrement aux personnes chargées de fournir et de mettre en œuvre les avis de préservation de la preuve;
  • les données sont détruites à l’expiration de la période de conservation et de la levée des obligations de préservation de la preuve11.

Tous les trimestres, les banques doivent soumettre au commissaire de l’ACFC une copie du dossier12 transmis au niveau désigné13. Même si l’information concernant la plainte que les banques soumettent à l’ACFC pourrait faire l’objet de demandes d’accès à l’information, nous nous attendons à ce que l’ACFC rejette ces demandes au motif que cette information est protégée par l’article 17 de la Loi sur l’ACFC14. Toutefois, si l’ACFC accepte la demande d’accès à l’information, les banques devront caviarder les renseignements sensibles contenus dans le dossier avant de transmettre celui-ci en réponse à la demande.

Bien que les dossiers trimestriels relatifs aux plaintes soumis par les banques soient fort probablement protégés, l’ACFC devra quand même publier un rapport annuel sur les plaintes qui contiendra un sommaire des renseignements fournis par les banques15.

Utilisation de la durée pour déterminer les sanctions administratives pécuniaires

Le projet de loi C-86 a modifié la Loi sur l’ACFC en y ajoutant deux critères pour déterminer le montant de la sanction administrative pécuniaire en cas de violation :

  • la durée de la violation;
  • la capacité de l’auteur de payer le montant de la pénalité.

L’ajout du critère de durée souligne l’importance pour les banques d’élaborer des politiques de conservation de données explicites qui mentionnent les exigences réglementaires en matière de conservation et les obligations de préservation de la preuve. Si une banque ne respecte pas ces politiques, elle pourrait difficilement se défendre en cas de suppression de renseignements. Les banques pourraient notamment adopter les mesures suivantes :

  • des options de pseudonymisation pour réduire la sensibilité des données conservées à long terme;
  • des mesures de protection, telles que le stockage hors site.

  1. Chris Skinner, Digital Bank: Strategies to Launch or Become a Digital Bank, Marshall Cavendish.
  2. Article 627.06 de la Loi sur les banques.
  3. Article 627.44 de la Loi sur les banques.
  4. Article 627.45 de la Loi sur les banques.
  5. Article 20 de la Loi sur l’Agence de la consommation en matière financière du Canada.
  6. Article 627.06 de la Loi sur les banques.
  7. En effet, les dossiers relatifs aux plaintes pourraient contenir des enregistrements de conversations avec des clients contrariés ou de nouveaux renseignements concernant la situation financière des clients. Ils pourraient également contenir des renseignements confidentiels de la banque ou de tiers tels que des membres du même groupe ou des revendeurs de produits de la banque.
  8. Article 627.15 de la Loi sur les banques.
  9. Article 627.44 de la Loi sur les banques. L’exigence de créer un dossier pour chaque plainte s’étend aux plaintes anonymes. Si le plaignant refuse de se nommer, la banque n’a pas à prendre de mesures pour l’identifier. En fait, il n’est pas recommandé de le faire, puisque ces renseignements additionnels augmenteraient le risque pour la banque, p. ex. en cas d’atteinte à la sécurité des données.
  10. La séparation des données et l’étiquetage de renseignements confidentiels seraient également utiles pour se conformer à des exigences existantes en matière de portabilité des données, car cela permettrait de distinguer les renseignements fournis par le client et les renseignements confidentiels de la banque ou de tiers.
  11. Une destruction des dossiers conforme aux exigences réglementaires aidera à atténuer les risques d’atteinte à la sécurité des données en réduisant la quantité des données détenues et en empêchant que le dossier puisse être utilisé pour établir la durée d’une violation aux fins d’évaluation d’une sanction pécuniaire.
  12. Le dossier soumis à l’ACFC doit comprendre tous les renseignements mentionnés à l’article 627.44 sauf les coordonnées autres que le code postal.
  13. La Ligne directrice sur les procédures de traitement des plaintes de l’ACFC fait une distinction entre le niveau non désigné (premier niveau de traitement des plaintes) et le niveau désigné (traitement des plaintes non résolues au premier niveau).
  14. Selon l’article 17 de la Loi sur l’ACFC, les renseignements que l’ACFC recueille dans le cadre de l’exercice des attributions en lien avec l’administration de la Loi sur l’ACFC sont confidentiels.
  15. Articles 627.54 et 627.47 de la Loi sur les banques.

Si vous souhaitez discuter ces enjeux et ces questions, veuillez contacter les auteurs.

Cette publication se veut une discussion générale concernant certains développements juridiques ou de nature connexe et ne doit pas être interprétée comme étant un conseil juridique. Si vous avez besoin de conseils juridiques, c'est avec plaisir que nous discuterons les questions soulevées dans cette communication avec vous, dans le cadre de votre situation particulière.

Pour obtenir la permission de reproduire l’une de nos publications, veuillez communiquer avec Janelle Weed.

© Torys, 2024.

Tous droits réservés.
 

Inscrivez-vous pour recevoir les dernières nouvelles

Restez à l’affût des nouvelles d’intérêt, des commentaires, des mises à jour et des publications de Torys.

Inscrivez-vous maintenant