Canada: Élargissement proposé des pouvoirs bancaires en matière de technologies financières : Principaux enjeux et prochaines étapes

Last Updated: June 29 2018
Article by Koker Christensen and Alex Cameron

Services financiers et Protection des renseignements confidentiels, vie privée et cybersécurité bulletin

Les récentes modifications proposées à la Loi sur les banques, lesquelles étendraient le pouvoir des banques et des autres institutions financières pour entreprendre des activités dans le domaine des technologies financières, ont été ralenties devant le Comité sénatorial des banques et du commerce. Les modifications proposées ont été examinées lors de récentes audiences tenues par le Comité, au cours desquelles des préoccupations ont été soulevées concernant des enjeux politiques liés aux technologies financières, au système bancaire ouvert, ainsi qu'au contrôle et à la protection des données des clients. Le présent bulletin résume les enjeux clés soulevés lors des audiences et explique comment ceux-ci sont liés aux questions politiques générales à trancher.

Modifications proposées

La Loi no 1 d'exécution du budget de 2018 (le « Projet de loi sur le budget »), déposée plus tôt cette année, propose les modifications suivantes à la Loi sur les banques, à la Loi sur les sociétés de fiducie et de prêt et à la Loi sur les sociétés d'assurances :

  • Des pouvoirs étendus conférés aux institutions financières pour l'aiguillage de clients vers d'autres entités.
  • Des pouvoirs étendus conférés aux institutions financières pour recueillir, traiter et transmettre des renseignements, et prendre part à un large éventail d'activités technologiques sans avoir obtenu d'approbation des autorités de réglementation.
  • De nouveaux pouvoirs conférés aux institutions financières pour commercialiser des activités élaborées à l'interne et les offrir à des tiers.
  • De nouveaux pouvoirs conférés aux institutions financières pour fournir des services d'identification, de vérification et d'authentification.
  • De nouveaux pouvoirs conférés aux institutions financières pour investir dans des entités, dont la « majorité » des activités sont liées aux services financiers qu'une institution financière est autorisée à mener.

Il n'y a pas consensus sur la mesure dans laquelle les banques détiennent déjà certains de ces pouvoirs, lesquels s'inscriraient dans « l'exercice d'activités bancaires ». En outre, il est envisagé que ces nouveaux pouvoirs étendus seront encadrés par des règlements qui n'ont pas encore été publiés. Néanmoins, ces modifications constituent une importante évolution et, si elles sont mises en Suvre, elles accorderaient aux banques des pouvoirs explicites pour entreprendre un large éventail d'activités liées aux technologies novatrices1.

Ces modifications proposées ont été accueillies favorablement par le secteur bancaire, qui est généralement d'avis que les dispositions actuelles de la Loi sur les banques nuisent à l'innovation et ne suivent pas le rythme des progrès technologiques. En réponse au document de consultation, l'Association des banquiers canadiens (ABC) a affirmé que la Loi sur les banques, dans sa version actuelle, impose des obstacles coûteux aux partenariats avec les entreprises de technologies financières, qui sont les vestiges d'une époque où le lien, désormais solide, entre la technologie et les activités bancaires était beaucoup moins évident. Au cours des dernières années, de nouvelles technologies novatrices sont devenues partie intégrante de presque tous les secteurs, et ces obstacles législatifs nuisent à la capacité des banques à tirer parti au maximum des produits que les entreprises des technologies financières peuvent offrir2.

Système bancaire ouvert

Les modifications proposées sont conformes aux efforts visant l'établissement d'un système bancaire ouvert, en vertu duquel les consommateurs pourraient, s'ils le souhaitent, communiquer leurs propres renseignements bancaires à d'autres fournisseurs de services financiers, ainsi qu'à d'autres entreprises.

L'an dernier, le ministère des Finances a publié un document de consultation intitulé « Mesures stratégiques possibles pour soutenir une économie forte et en croissance : Préparer le secteur financier du Canada pour l'avenir », ayant pour objet l'obtention de commentaires sur, entre autres choses, le bien-fondé d'un système bancaire ouvert. Ce document décrit les avantages d'un système bancaire ouvert, lequel faciliterait l'interaction entre les clients et les fournisseurs de services financiers et augmenterait la concurrence. Également, le document de consultation souligne l'importance de la protection de la sécurité et des renseignements personnels du client.

En réponse au document de consultation, l'ABC a souligné que la protection des renseignements personnels du client serait un élément crucial de tout système permettant à des tiers d'accéder à des données financières. L'ABC a affirmé que la vérification des instructions du client lorsque les tiers demandent à accéder à de l'information, et la garantie de la légitimité et de la capacité du tiers quant au traitement de l'information seraient examinées avant d'en accorder l'accès. L'ABC rajoute qu'il serait primordial que les clients comprennent la portée du partage des données et des risques qui y sont associés afin d'obtenir un consentement éclairé3.

En décembre 2017, le Bureau de la concurrence a publié une étude de marché sur le secteur de l'innovation technologique et des services financiers. L'une des recommandations issues de cette étude est à l'effet que : « Les décideurs politiques devraient adopter un "accès ouvert" élargi aux systèmes et aux données à l'aide d'interfaces de programmation des applications. En disposant d'un meilleur accès aux données sur les consommateurs (en vertu d'un consentement éclairé et d'un cadre de gestion des risques approprié), les technologies financières pourraient aider les consommateurs à surmonter leur incapacité ou leur réticence à comparer les offres des fournisseurs en favorisant le développement d'outils adaptés de comparaison des prix et d'autres applications qui faciliteraient le changement de fournisseur. »

Le Bureau de la concurrence a également recommandé que les participants et les organismes de réglementation du secteur évaluent le potentiel de l'identification numérique pour faciliter les processus d'identification des clients, ce qui est également reflété dans les modifications proposées à la législation fédérale visant les institutions financières.

Audiences du Comité sénatorial

En réponse aux modifications proposées dans le Projet de loi sur le budget, le Comité sénatorial des banques et du commerce a récemment tenu des audiences auxquelles un large éventail de témoins et d'intervenants ont participé, afin de discuter des modifications proposées, des préoccupations en matière de cybersécurité et d'autres enjeux.

Protection des renseignements personnels et cybersécurité

Le Comité a demandé des garanties que les changements ne permettraient pas aux banques de transférer des dossiers bancaires sensibles à des tiers, d'une manière qui ne serait pas clairement comprise et acceptée par leurs clients. Les représentants des banques ont répondu que le consentement du client est exigé et que les contrats de partage de renseignements avec des tiers sont assortis de rigoureux mécanismes de sécurité et de protection des renseignements personnels permettant aux banques de vérifier comment les entreprises externes utilisent les données des clients.

Le Comité a également exprimé ses préoccupations à l'égard de la cybersécurité et de la possibilité de fuites de données chez des entités, tant nationales qu'internationales, auxquelles les banques communiquent l'information. Dans l'élaboration des modifications, le gouvernement a établi un objectif de créer une nouvelle stratégie en matière de cybersécurité et de faire du Canada un chef de file mondial à cet égard. Les représentants des banques ont porté à l'attention du Comité la proposition de créer un carrefour centralisé pour le partage des pratiques exemplaires et de renseignements sur la cybersécurité qui seraient applicables à tous les secteurs financiers d'importance. Les représentants des banques ont fait valoir que cela contribuerait à renforcer l'expertise en matière de cybersécurité du gouvernement fédéral, renforçant ainsi la protection des consommateurs. Ils ont également soutenu que cette consolidation entraînerait l'adoption d'une méthode unifiée pour traiter avec les entités étrangères et les menaces y associées. Les représentants ont précisé que le partage d'information qui en découlerait pour assurer une protection contre les risques à la cybersécurité ne supposait pas le stockage central des données sensibles.

Le commissaire à la protection de la vie privée du Canada (qui n'aurait, semble-t-il, pas été consulté au sujet des modifications proposées) a indiqué au Comité que, selon les renseignements accessibles, les dispositions proposées ne permettraient pas d'atteindre un équilibre convenable entre la promotion de l'innovation commerciale et la protection des renseignements personnels des consommateurs. Le commissaire a fait valoir qu'il est généralement requis des technologies financières qu'elles obtiennent un consentement exprès, significatif et valide de leurs clients avant de traiter les renseignements financiers les concernant. Cependant, le commissaire a exprimé son inquiétude par rapport aux problèmes que pose le modèle actuel d'obtention de consentement, lesquels empêcheraient une protection adéquate des consommateurs. De plus, il indique qu'il a des raisons de croire que les institutions financières et les organisations de technologies financières n'ont pas l'intention d'obtenir le consentement exprès de leurs clients, contrairement aux modifications proposées. de procéder en vertu des modifications proposées sans obtenir le consentement exprès des clients.

Le commissaire a affirmé que si le secteur financier obtenait réellement un consentement exprès et éclairé et que les questions de protection des renseignements personnels étaient abordées dans le règlement qui sera mis en Suvre en vertu du Projet de loi sur le budget, des mesures raisonnables de protection des renseignements personnels pourraient être instaurées. Il rajoute qu'il n'est cependant pas habilité sur le plan juridique à obliger la conformité à la loi relative à la protection de la vie privée (la Loi sur la protection des renseignements personnels et les documents électroniques, « LPRPDE »). Il a suggéré que conférer ce pouvoir à son bureau forcerait le secteur financier à obtenir un consentement exprès et qu'il s'agirait de la méthode la plus directe de rééquilibrer la législation (il doit être noté, qu'actuellement, le commissaire a le pouvoir de mener des enquêtes et d'exiger l'application de la loi par l'entremise de la Cour fédérale).

La protection des renseignements personnels et la cybersécurité sont clairement des enjeux clés sur lesquels le Comité doit se pencher. Cependant, les observations du commissaire devant le Comité doivent également être interprétées dans un contexte plus général. Premièrement, le commissaire a formulé des préoccupations quant à l'efficacité des méthodes actuelles d'obtention du consentement qui ne touchent pas uniquement le secteur financier ni les technologies financières. En effet, dès 2016, le commissaire a entrepris un examen général de la notion de consentement à l'échelle de tous les secteurs et de toutes les activités régies par la LPRPDE : voir Consultation sur le consentement en vertu de la Loi sur la protection des renseignements personnels et les documents électroniques. Cette consultation a récemment amené le commissaire à publier un nouveau document d'orientation, intitulé « Lignes directrices pour l'obtention d'un consentement valable », qui sera applicable à compter du 1er janvier 2019. Le commissaire a simultanément publié un deuxième document d'orientation intitulé : « Document d'orientation sur les pratiques inacceptables du traitement des données : Interprétation et application du paragraphe 5(3) », lequel prendra effet le 1er juillet 2018. Ces documents d'orientation, qui ont été publiés deux jours après que le commissaire se soit présenté devant le Comité, sont détaillés dans le bulletin suivant : Le Commissariat à la protection de la vie privée a publié ses principales lignes directrices pour l'obtention du consentement et les pratiques inacceptables du traitement des données.

Deuxièmement, la demande du commissaire d'obtenir le pouvoir d'obliger le secteur financier à obtenir le consentement exprès est l'exemple le plus récent des efforts plus généraux du commissaire visant à obtenir le pouvoir de publier des ordonnances exécutoires pour mettre en application les dispositions de la LPRPDE. Cette question n'est pas exclusive aux technologies financières ni au secteur financier. Plus tôt en 2018, le Comité permanent de l'accès à l'information, de la protection des renseignements personnels et de l'éthique a publié un ensemble de recommandations concernant les modifications à la LPRPDE : Vers la protection de la vie privée dès la conception : examen de la Loi sur la protection des renseignements personnels et les documents électroniques, incluant celle que la LPRPDE soit modifiée afin de conférer au commissaire des pouvoirs d'application de la loi, y compris celui de délivrer des ordonnances et d'imposer des amendes en cas de non-conformité.

À la suite de cette présentation au Comité, le commissaire a envoyé une lettre de suivi au Comité pour demander que la LPRPDE soit modifiée afin d'y inclure une exigence supplémentaire concernant l'obtention d'un consentement valable et que le commissaire se voit conférer le pouvoir de délivrer des ordonnances. Ces changements ne se limitent toutefois pas au secteur financier. Conformément aux initiatives plus générales décrites précédemment, les modifications à la LPRPDE demandées s'appliqueraient à l'ensemble des organisations visées par cette loi et constitueraient donc un changement en profondeur de la LPRPDE et du modèle de plainte qui est en place en vertu de celle-ci depuis presque deux décennies.

Activités d'assurance

Des préoccupations ont également été soulevées lors des audiences concernant la question de savoir si les modifications proposées permettraient aux banques d'étendre leurs activités dans le domaine de l'assurance. L'Association canadienne des compagnies d'assurances mutuelles (ACCAM) a indiqué au comité que les modifications à la Loi sur les banques « ouvrent un nouveau secteur d'activités pour les banques », soit la vente de données sur les consommateurs. L'inquiétude soulevée est liée au fait que cela permettrait aux banques de mener des activités dans le domaine de l'assurance, secteur qui est restreint en vertu de la Loi sur les banques et du Règlement sur le commerce de l'assurance (banques et sociétés de portefeuille bancaires). Il a été soutenu que les modifications faciliteraient le transfert de données bancaires à des entreprises de technologies financières qui, à leur tour, pourraient utiliser ces données pour offrir des produits d'assurance.

Les membres du comité ont exprimé leur inquiétude quant à la possibilité que les banques puissent promouvoir la vente de produits d'assurance en établissant une relation avec une entreprise de technologies financières, grâce au paiement de commissions d'aiguillage ou à la réduction des coûts d'impartition. Les représentants des banques ont répondu que ce ne serait pas le cas, puisque les pouvoirs de réseautage sont assujettis à l'article 416 de la Loi sur les banques, lequel interdit aux banques d'exercer des activités d'assurance, sauf dans les cas autorisés en vertu de la Loi sur les banques. L'ABC a également rassuré le comité en précisant que les banques n'avaient pas une telle intention.

Le débat sur le caractère opportun de l'accès des entreprises de technologies financières aux données bancaires et sur le fait que ces données pourraient être utilisées à des fins d'assurance est lié au débat sur le bien-fondé d'un système bancaire ouvert. Certains membres du comité se sont dits d'avis qu'il ne devrait y avoir aucune plainte au sujet des partenariats entre les entreprises de technologies financières et les banques et de leur intégration au marché de l'assurance, puisque cela favoriserait la concurrence.

Ce que nous réserve l'avenir

Il reste à voir si des changements seront apportés aux modifications proposées à la législation régissant les institutions financières fédérales ou à la LPRPDE. Quoi qu'il en soit, les enjeux relatifs aux technologies financières, au système bancaire ouvert et à la protection des données des clients demeureront sans doute à l'avant-plan des politiques du secteur financier au cours des prochaines années.

Nous remercions tout spécialement Sarah Chouinard, étudiante en droit, de ses contributions au présent article.

Footnotes

1 Actuellement, les institutions financières fédérales peuvent effectuer la collecte, le traitement et la transmission de renseignements de nature principalement économique (au Canada) ou concevoir, conserver, gérer ou autrement traiter les dispositifs ou des plateformes de transmission de données qui fournissent des renseignements principalement financiers ou économiques, mais seulement sous réserve de l'approbation du ministre des Finances.

2 Examen du Cadre régissant le secteur financier sous réglementation fédérale; Présentation au ministère des Finances du Canada (29 septembre 2017), en ligne : Association des banquiers canadiens, à la page 6 (en anglais seulement).

3Idem, à la p. 12.

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.

To print this article, all you need is to be registered on Mondaq.com.

Click to Login as an existing user or Register so you can print this article.

Authors
 
In association with
Related Topics
 
Related Articles
 
Related Video
Up-coming Events Search
Tools
Print
Font Size:
Translation
Channels
Mondaq on Twitter
 
Register for Access and our Free Biweekly Alert for
This service is completely free. Access 250,000 archived articles from 100+ countries and get a personalised email twice a week covering developments (and yes, our lawyers like to think you’ve read our Disclaimer).
 
Email Address
Company Name
Password
Confirm Password
Position
Mondaq Topics -- Select your Interests
 Accounting
 Anti-trust
 Commercial
 Compliance
 Consumer
 Criminal
 Employment
 Energy
 Environment
 Family
 Finance
 Government
 Healthcare
 Immigration
 Insolvency
 Insurance
 International
 IP
 Law Performance
 Law Practice
 Litigation
 Media & IT
 Privacy
 Real Estate
 Strategy
 Tax
 Technology
 Transport
 Wealth Mgt
Regions
Africa
Asia
Asia Pacific
Australasia
Canada
Caribbean
Europe
European Union
Latin America
Middle East
U.K.
United States
Worldwide Updates
Registration (you must scroll down to set your data preferences)

Mondaq Ltd requires you to register and provide information that personally identifies you, including your content preferences, for three primary purposes (full details of Mondaq’s use of your personal data can be found in our Privacy and Cookies Notice):

  • To allow you to personalize the Mondaq websites you are visiting to show content ("Content") relevant to your interests.
  • To enable features such as password reminder, news alerts, email a colleague, and linking from Mondaq (and its affiliate sites) to your website.
  • To produce demographic feedback for our content providers ("Contributors") who contribute Content for free for your use.

Mondaq hopes that our registered users will support us in maintaining our free to view business model by consenting to our use of your personal data as described below.

Mondaq has a "free to view" business model. Our services are paid for by Contributors in exchange for Mondaq providing them with access to information about who accesses their content. Once personal data is transferred to our Contributors they become a data controller of this personal data. They use it to measure the response that their articles are receiving, as a form of market research. They may also use it to provide Mondaq users with information about their products and services.

Details of each Contributor to which your personal data will be transferred is clearly stated within the Content that you access. For full details of how this Contributor will use your personal data, you should review the Contributor’s own Privacy Notice.

Please indicate your preference below:

Yes, I am happy to support Mondaq in maintaining its free to view business model by agreeing to allow Mondaq to share my personal data with Contributors whose Content I access
No, I do not want Mondaq to share my personal data with Contributors

Also please let us know whether you are happy to receive communications promoting products and services offered by Mondaq:

Yes, I am happy to received promotional communications from Mondaq
No, please do not send me promotional communications from Mondaq
Terms & Conditions

Mondaq.com (the Website) is owned and managed by Mondaq Ltd (Mondaq). Mondaq grants you a non-exclusive, revocable licence to access the Website and associated services, such as the Mondaq News Alerts (Services), subject to and in consideration of your compliance with the following terms and conditions of use (Terms). Your use of the Website and/or Services constitutes your agreement to the Terms. Mondaq may terminate your use of the Website and Services if you are in breach of these Terms or if Mondaq decides to terminate the licence granted hereunder for any reason whatsoever.

Use of www.mondaq.com

To Use Mondaq.com you must be: eighteen (18) years old or over; legally capable of entering into binding contracts; and not in any way prohibited by the applicable law to enter into these Terms in the jurisdiction which you are currently located.

You may use the Website as an unregistered user, however, you are required to register as a user if you wish to read the full text of the Content or to receive the Services.

You may not modify, publish, transmit, transfer or sell, reproduce, create derivative works from, distribute, perform, link, display, or in any way exploit any of the Content, in whole or in part, except as expressly permitted in these Terms or with the prior written consent of Mondaq. You may not use electronic or other means to extract details or information from the Content. Nor shall you extract information about users or Contributors in order to offer them any services or products.

In your use of the Website and/or Services you shall: comply with all applicable laws, regulations, directives and legislations which apply to your Use of the Website and/or Services in whatever country you are physically located including without limitation any and all consumer law, export control laws and regulations; provide to us true, correct and accurate information and promptly inform us in the event that any information that you have provided to us changes or becomes inaccurate; notify Mondaq immediately of any circumstances where you have reason to believe that any Intellectual Property Rights or any other rights of any third party may have been infringed; co-operate with reasonable security or other checks or requests for information made by Mondaq from time to time; and at all times be fully liable for the breach of any of these Terms by a third party using your login details to access the Website and/or Services

however, you shall not: do anything likely to impair, interfere with or damage or cause harm or distress to any persons, or the network; do anything that will infringe any Intellectual Property Rights or other rights of Mondaq or any third party; or use the Website, Services and/or Content otherwise than in accordance with these Terms; use any trade marks or service marks of Mondaq or the Contributors, or do anything which may be seen to take unfair advantage of the reputation and goodwill of Mondaq or the Contributors, or the Website, Services and/or Content.

Mondaq reserves the right, in its sole discretion, to take any action that it deems necessary and appropriate in the event it considers that there is a breach or threatened breach of the Terms.

Mondaq’s Rights and Obligations

Unless otherwise expressly set out to the contrary, nothing in these Terms shall serve to transfer from Mondaq to you, any Intellectual Property Rights owned by and/or licensed to Mondaq and all rights, title and interest in and to such Intellectual Property Rights will remain exclusively with Mondaq and/or its licensors.

Mondaq shall use its reasonable endeavours to make the Website and Services available to you at all times, but we cannot guarantee an uninterrupted and fault free service.

Mondaq reserves the right to make changes to the services and/or the Website or part thereof, from time to time, and we may add, remove, modify and/or vary any elements of features and functionalities of the Website or the services.

Mondaq also reserves the right from time to time to monitor your Use of the Website and/or services.

Disclaimer

The Content is general information only. It is not intended to constitute legal advice or seek to be the complete and comprehensive statement of the law, nor is it intended to address your specific requirements or provide advice on which reliance should be placed. Mondaq and/or its Contributors and other suppliers make no representations about the suitability of the information contained in the Content for any purpose. All Content provided "as is" without warranty of any kind. Mondaq and/or its Contributors and other suppliers hereby exclude and disclaim all representations, warranties or guarantees with regard to the Content, including all implied warranties and conditions of merchantability, fitness for a particular purpose, title and non-infringement. To the maximum extent permitted by law, Mondaq expressly excludes all representations, warranties, obligations, and liabilities arising out of or in connection with all Content. In no event shall Mondaq and/or its respective suppliers be liable for any special, indirect or consequential damages or any damages whatsoever resulting from loss of use, data or profits, whether in an action of contract, negligence or other tortious action, arising out of or in connection with the use of the Content or performance of Mondaq’s Services.

General

Mondaq may alter or amend these Terms by amending them on the Website. By continuing to Use the Services and/or the Website after such amendment, you will be deemed to have accepted any amendment to these Terms.

These Terms shall be governed by and construed in accordance with the laws of England and Wales and you irrevocably submit to the exclusive jurisdiction of the courts of England and Wales to settle any dispute which may arise out of or in connection with these Terms. If you live outside the United Kingdom, English law shall apply only to the extent that English law shall not deprive you of any legal protection accorded in accordance with the law of the place where you are habitually resident ("Local Law"). In the event English law deprives you of any legal protection which is accorded to you under Local Law, then these terms shall be governed by Local Law and any dispute or claim arising out of or in connection with these Terms shall be subject to the non-exclusive jurisdiction of the courts where you are habitually resident.

You may print and keep a copy of these Terms, which form the entire agreement between you and Mondaq and supersede any other communications or advertising in respect of the Service and/or the Website.

No delay in exercising or non-exercise by you and/or Mondaq of any of its rights under or in connection with these Terms shall operate as a waiver or release of each of your or Mondaq’s right. Rather, any such waiver or release must be specifically granted in writing signed by the party granting it.

If any part of these Terms is held unenforceable, that part shall be enforced to the maximum extent permissible so as to give effect to the intent of the parties, and the Terms shall continue in full force and effect.

Mondaq shall not incur any liability to you on account of any loss or damage resulting from any delay or failure to perform all or any part of these Terms if such delay or failure is caused, in whole or in part, by events, occurrences, or causes beyond the control of Mondaq. Such events, occurrences or causes will include, without limitation, acts of God, strikes, lockouts, server and network failure, riots, acts of war, earthquakes, fire and explosions.

By clicking Register you state you have read and agree to our Terms and Conditions