Depuis l’entrée en vigueur de la dernière phase de la Loi 25, en septembre 2024, les clients peuvent demander à recevoir ou transférer leurs renseignements personnels détenus par une entreprise. Dans le secteur du courtage, ces demandes se font rares. Des balises floues et des zones d’ombres persistent.
Dans le cadre du Pointage des régulateurs 2025, nous avons posé la question suivante aux responsables de la conformité des organisations de l’industrie financière : « Est-ce que votre entreprise est pleinement en mesure de se conformer aux nouvelles obligations de la loi 25 sur la portabilité des données des clients? » Résultat : la majorité (78 %) des répondants ont répondu que leur entreprise était pleinement en mesure de se conformer. Certains appréhendent toutefois des défis.
Un répondant d’un important assureur au Québec indique que les grandes organisations possèdent des ressources, des lignes directrices et des budgets pour y parvenir. « Il s’agira probablement d’un défi plus important pour les petits courtiers, qui sont également ceux que nous trouvons les moins respectueux de la réglementation en la matière », dit-il.
Les commentaires des sondés sur le sujet varient en fonction de l’expérience des firmes. Un représentant signale que l’application de la loi nécessite beaucoup d’effort des équipes, tandis qu’un autre mentionne que les demandes de clients en lien avec le droit à la portabilité sont plutôt rares. Quoi qu’il en soit, la nécessité de s’adapter aux demandes représente une source de préoccupation pour plusieurs répondants. « Si les demandes sont sporadiques, c’est faisable. Sinon, ce sera complexe », mentionne un responsable de la conformité.
Bien que la portabilité des données soit officiellement en vigueur, plusieurs organisations n’ont encore jamais traité une telle demande. Chez Cloutier Groupe financier, par exemple, aucun cas concret n’a été recensé à ce jour. « On est capable de répondre, mais on n’a eu aucune demande », confirme François Bruneau, vice-président administration. Même constat chez MICA Cabinets de services financiers : le processus est prêt, mais n’a jamais été mis à l’épreuve, indique Francis Ménard, vice-président transformation numérique.
Chez Mérici Services financiers, la mise à jour des systèmes a été relativement fluide, grâce à des fournisseurs de logiciels qui ont intégré les exigences de la Loi 25 sans imposer de frais supplémentaires, rapporte le président et chef de la conformité, Maxime Gauthier. Mais même là, l’exploitation concrète des données transférées reste incertaine. Le défi demeure pour l’instant théorique.
L’éléphant dans la pièce : l’absence de standardisation
Derrière l’apparente simplicité du droit à la portabilité se cache un défi technique de taille : le manque de standardisation des formats de données. Même si l’information est fournie dans un format structuré, chaque organisation classe et encode les informations différemment, ce qui exige un effort d’adaptation de la part de celui qui la reçoit.
« Il y aura un effort du côté du destinataire, car les données ne seront pas organisées selon ses propres structures », explique Francis Ménard. « Un client peut vouloir recevoir ses informations dans un format exploitable pour lui, mais cela ne signifie pas que nos systèmes peuvent les lui fournir de cette manière », signale Maxime Gauthier.
L’absence de standardisation complique l’intégration des renseignements personnels par les destinataires. Même dans un scénario où un client obtiendrait ses données, leur réutilisation par une firme concurrente demeure peu probable, du moins à l’heure actuelle, ajoute François Bruneau.
Par exemple, un client qui transfère un compte d’investissement vers une autre institution pourrait souhaiter importer son historique de transactions. Cependant, cette opération est délicate tant sur le plan technique que réglementaire : « Il n’y a aucune façon que je vais rentrer ça dans mon système. On ne veut pas contaminer notre environnement avec des données externes qu’on ne peut pas valider », dit François Bruneau. Résultat : le client se retrouve avec un fichier dont l’utilité reste limitée, sauf à des fins personnelles.
Le fait que les données sont souvent réparties entre plusieurs systèmes : épargne collective, assurance collective, assurance individuelle, représente un défi supplémentaire. Les différentes plateformes n’étant pas interconnectées, récupérer des informations pour un client actif dans plusieurs unités d’affaires peut donc devenir complexe et chronophage. « Il faut aller chercher les données dans chacun des systèmes, ce qui rallonge les délais. »
Pour l’instant, la grande majorité des démarches nécessite un traitement manuel. « Il n’y a pas de bouton magique pour extraire les données. Chaque demande requiert une intervention humaine », indique François Bruneau. Il craint un engorgement si le volume de requêtes devait augmenter soudainement. Dans ce cas, la gestion du volume deviendrait plus problématique que la capacité à livrer les renseignements.
Sur le plan juridique, la Loi 25 établit un droit à la portabilité, mais sans indiquer comment l’exercer concrètement, soulève Yvan Morin, chef de la protection des renseignements personnels chez MICA : « Il faut traiter les demandes dans un délai raisonnable et s’assurer que la transmission se fait de façon sécuritaire, mais on n’a pas de directives détaillées. »
La nécessité d’utiliser un mode de transmission sécuritaire pour protéger les renseignements personnels complexifie les choses, alors qu’aucune méthode spécifique n’a été déterminée pour l’instant par le législateur. Selon Yvan Morin, l’adoption de normes communes et d’outils technologiques standardisés réduirait l’effort requis des firmes pour se conformer aux exigences de la Loi 25.
La méconnaissance du public fait en sorte que la portabilité des données reste peu demandée. « Malheureusement, la majorité des gens ignorent ce que la Loi 25 leur permet. Ce n’est pas une priorité pour eux », constate Maxime Gauthier, ajoutant que la loi résulte plus d’une volonté gouvernementale que d’une pression des usagers.
François Bruneau entrevoit un potentiel d’innovation prometteur dans cette disposition. Une application FinTech pourrait, à terme, automatiser les demandes de portabilité, agréger les données de diverses institutions et les rendre exploitables pour les clients, à condition que les infrastructures technologiques suivent, illustre-t-il.
L’essor de l’intelligence artificielle (IA) soulève également des questions sur la sécurité des données personnelles. Maxime Gauthier rappelle que, selon la Loi 25, aucune donnée ne doit être utilisée par un outil d’IA sans le consentement éclairé du client. Il n’exclut pas certains dérapages. « Ce n’est pas censé arriver, mais si une IA est mal utilisée ou mal encadrée, le risque de fuite est bien réel. »
Réforme nécessaire à long terme
Des discussions sont en cours pour déterminer comment des données sensibles, telles que la tolérance au risque, pourraient être transférées entre firmes. Cela suppose un travail de coordination technique, car les méthodes de collecte et de conservation des données diffèrent souvent d’une institution à l’autre. « Il faudra s’entendre sur des protocoles communs. Ce sera long et exigeant », affirme Maxime Gauthier.
Ces efforts s’inscrivent dans un contexte plus vaste de transformation numérique, à l’image du transfert de comptes entre représentants (TCR), qui mobilise déjà les ressources informatiques des firmes.
Pour Kateri-Anne Grenier, associée et cocheffe, protection des renseignements confidentiels, vie privée et cybersécurité, et avocate en litige commercial chez Fasken, la portabilité des données est une avancée importante, mais encore largement théorique.
« Il faut des audits réguliers pour vérifier si les processus sont en place, s’ils fonctionnent, s’ils peuvent être améliorés, et s’ils respectent la loi », expliquait-elle dans un précédent article dans Finance et Investissement. Elle met notamment en garde contre la tentation de stocker indéfiniment des données inutiles, au risque d’être pris de court en cas d’incident de confidentialité.
Si l’outil est en place et les règles établies, un écart demeure donc entre l’intention du législateur et les usages réels sur le terrain.