Dans le cadre du Pointage des régulateurs 2025, nous avons posé la question suivante aux responsables de la conformité des organisations de l’industrie financière : « Est-ce que votre entreprise est pleinement en mesure de se conformer aux nouvelles obligations de la loi 25 sur la portabilité des données des clients? » Résultat : la majorité (78 %) des répondants ont répondu que leur entreprise était pleinement en mesure de se conformer. Certains appréhendent toutefois des défis.

Un répondant d’un important assureur au Québec indique que les grandes organisations possèdent des ressources, des lignes directrices et des budgets pour y parvenir. « Il s’agira probablement d’un défi plus important pour les petits courtiers, qui sont également ceux que nous trouvons les moins respectueux de la réglementation en la matière », dit-il.

Les commentaires des sondés sur le sujet varient en fonction de l’expérience des firmes. Un représentant signale que l’application de la loi nécessite beaucoup d’effort des équipes, tandis qu’un autre mentionne que les demandes de clients en lien avec le droit à la portabilité sont plutôt rares. Quoi qu’il en soit, la nécessité de s’adapter aux demandes représente une source de préoccupation pour plusieurs répondants. « Si les demandes sont sporadiques, c’est faisable. Sinon, ce sera complexe », mentionne un responsable de la conformité.

Bien que la portabilité des données soit officiellement en vigueur, plusieurs organisations n’ont encore jamais traité une telle demande. Chez Cloutier Groupe financier, par exemple, aucun cas concret n’a été recensé à ce jour. « On est capable de répondre, mais on n’a eu aucune demande », confirme François Bruneau, vice-président administration. Même constat chez MICA Cabinets de services financiers : le processus est prêt, mais n’a jamais été mis à l’épreuve, indique Francis Ménard, vice-président transformation numérique.

Chez Mérici Services financiers, la mise à jour des systèmes a été relativement fluide, grâce à des fournisseurs de logiciels qui ont intégré les exigences de la Loi 25 sans imposer de frais supplémentaires, rapporte le président et chef de la conformité, Maxime Gauthier. Mais même là, l’exploitation concrète des données transférées reste incertaine. Le défi demeure pour l’instant théorique.

L’éléphant dans la pièce : l’absence de standardisation
Derrière l’apparente simplicité du droit à la portabilité se cache un défi technique de taille : le manque de standardisation des formats de données. Même si l’information est fournie dans un format structuré, chaque organisation classe et encode les informations différemment, ce qui exige un effort d’adaptation de la part de celui qui la reçoit.

« Il y aura un effort du côté du destinataire, car les données ne seront pas organisées selon ses propres structures », explique Francis Ménard. « Un client peut vouloir recevoir ses informations dans un format exploitable pour lui, mais cela ne signifie pas que nos systèmes peuvent les lui fournir de cette manière », signale Maxime Gauthier.

L’absence de standardisation complique l’intégration des renseignements personnels par les destinataires. Même dans un scénario où un client obtiendrait ses données, leur réutilisation par une firme concurrente demeure peu probable, du moins à l’heure actuelle, ajoute François Bruneau.

Par exemple, un client qui transfère un compte d’investissement vers une autre institution pourrait souhaiter importer son historique de transactions. Cependant, cette opération est délicate tant sur le plan technique que réglementaire : « Il n’y a aucune façon que je vais rentrer ça dans mon système. On ne veut pas contaminer notre environnement avec des données externes qu’on ne peut pas valider », dit François Bruneau. Résultat : le client se retrouve avec un fichier dont l’utilité reste limitée, sauf à des fins personnelles.

Le fait que les données sont souvent réparties entre plusieurs systèmes : épargne collective, assurance collective, assurance individuelle, représente un défi supplémentaire. Les différentes plateformes n’étant pas interconnectées, récupérer des informations pour un client actif dans plusieurs unités d’affaires peut donc devenir complexe et chronophage. « Il faut aller chercher les données dans chacun des systèmes, ce qui rallonge les délais. »

Pour l’instant, la grande majorité des démarches nécessite un traitement manuel. « Il n’y a pas de bouton magique pour extraire les données. Chaque demande requiert une intervention humaine », indique François Bruneau. Il craint un engorgement si le volume de requêtes devait augmenter soudainement. Dans ce cas, la gestion du volume deviendrait plus problématique que la capacité à livrer les renseignements.

Sur le plan juridique, la Loi 25 établit un droit à la portabilité, mais sans indiquer comment l’exercer concrètement, soulève Yvan Morin, chef de la protection des renseignements personnels chez MICA : « Il faut traiter les demandes dans un délai raisonnable et s’assurer que la transmission se fait de façon sécuritaire, mais on n’a pas de directives détaillées. »

La nécessité d’utiliser un mode de transmission sécuritaire pour protéger les renseignements personnels complexifie les choses, alors qu’aucune méthode spécifique n’a été déterminée pour l’instant par le législateur. Selon Yvan Morin, l’adoption de normes communes et d’outils technologiques standardisés réduirait l’effort requis des firmes pour se conformer aux exigences de la Loi 25.

La méconnaissance du public fait en sorte que la portabilité des données reste peu demandée. « Malheureusement, la majorité des gens ignorent ce que la Loi 25 leur permet. Ce n’est pas une priorité pour eux », constate Maxime Gauthier, ajoutant que la loi résulte plus d’une volonté gouvernementale que d’une pression des usagers.

François Bruneau entrevoit un potentiel d’innovation prometteur dans cette disposition. Une application FinTech pourrait, à terme, automatiser les demandes de portabilité, agréger les données de diverses institutions et les rendre exploitables pour les clients, à condition que les infrastructures technologiques suivent, illustre-t-il.

L’essor de l’intelligence artificielle (IA) soulève également des questions sur la sécurité des données personnelles. Maxime Gauthier rappelle que, selon la Loi 25, aucune donnée ne doit être utilisée par un outil d’IA sans le consentement éclairé du client. Il n’exclut pas certains dérapages. « Ce n’est pas censé arriver, mais si une IA est mal utilisée ou mal encadrée, le risque de fuite est bien réel. »

Réforme nécessaire à long terme

Des discussions sont en cours pour déterminer comment des données sensibles, telles que la tolérance au risque, pourraient être transférées entre firmes. Cela suppose un travail de coordination technique, car les méthodes de collecte et de conservation des données diffèrent souvent d’une institution à l’autre. « Il faudra s’entendre sur des protocoles communs. Ce sera long et exigeant », affirme Maxime Gauthier.

Ces efforts s’inscrivent dans un contexte plus vaste de transformation numérique, à l’image du transfert de comptes entre représentants (TCR), qui mobilise déjà les ressources informatiques des firmes.

Pour Kateri-Anne Grenier, associée et cocheffe, protection des renseignements confidentiels, vie privée et cybersécurité, et avocate en litige commercial chez Fasken, la portabilité des données est une avancée importante, mais encore largement théorique.

« Il faut des audits réguliers pour vérifier si les processus sont en place, s’ils fonctionnent, s’ils peuvent être améliorés, et s’ils respectent la loi », expliquait-elle dans un précédent article dans Finance et Investissement. Elle met notamment en garde contre la tentation de stocker indéfiniment des données inutiles, au risque d’être pris de court en cas d’incident de confidentialité.

Si l’outil est en place et les règles établies, un écart demeure donc entre l’intention du législateur et les usages réels sur le terrain.

L’article Portabilité des données : les défis invisibles de la Loi 25 est apparu en premier sur Finance et Investissement.

La mise en application de la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels s’est échelonnée sur trois ans. La dernière portion, axée sur le droit à la portabilité des données, est entrée en vigueur le 22 septembre dernier.

Depuis, les organisations ont l’obligation de communiquer un renseignement personnel informatisé recueilli par elles à toute personne concernée ou à un organisme autorisé à le recueillir, lorsque la demande en est faite. Cette communication doit être effectuée dans un format technologique structuré et couramment utilisé, par exemple un format de type CSV ou XML, précise le gouvernement du Québec.

Le droit à la portabilité vise à encourager la concurrence et à faciliter le droit du consommateur à changer de fournisseur, que ce soit pour un service Internet ou une institution financière, illustre Kateri-Anne Grenier, associée et cocheffe, protection des renseignements confidentiels, vie privée et cybersécurité, et avocate en litige commercial chez Fasken.

Cela fait en sorte qu’on ne peut pas refuser de remettre les informations fournies pour constituer son dossier à la personne ou à un nouveau fournisseur en invoquant la non-disponibilité de l’information sur un format technologique facile à utiliser.

Le droit à la portabilité ne vise toutefois pas les renseignements personnels recueillis en format papier ni ceux créés ou induits par une entreprise, par exemple pour un profil d’utilisateur sur le Web.

Des défis à relever

La mise en place de cette législation a posé et pose toujours des défis pour les entreprises. L’avocate explique que « tout le monde est visé par la loi, même les entreprises qui font du B2B. Ces entreprises ne recueillent peut-être pas des renseignements sur leurs clients en tant qu’individus, mais elles ont des employés. À partir du moment où une entreprise a des employés au Québec, elle est assujettie à la loi 25 ».

Or, bien que la Loi sur la protection des renseignements personnels dans le secteur privé existe depuis 1994, « les entreprises avaient manifestement peu investi de ressources et avaient mis en place peu de processus », constate-t-elle. Mais, la loi 25, qui augmente les obligations des entreprises et ajoute des sanctions importantes, « a créé un effet de réveil collectif ».

L’un des défis qu’ont dû relever la majorité des entreprises a été de procéder à un inventaire de données duquel doivent découler leurs politiques et leur cadre. « Et ça, je vous dirais que ce n’était pas fait dans la plupart des entreprises, observe Kateri-Anne Grenier. […] Et l’inventaire, c’est un défi, mais ça se fait avec des solutions humaines et technologiques. C’est une étape qui est primordiale dans un exercice sérieux. »

L’autre défi, une fois qu’un programme de conformité à la loi 25 a été mis en place, consiste à le mener à bien à l’intérieur de l’entreprise. « Donc, une fois que c’est fini, ça recommence, c’est-à-dire qu’on a adopté notre cadre, les politiques, on a renégocié nos contrats avec les fournisseurs, on a sécurisé nos systèmes, on a donné des rôles et des responsabilités aux acteurs à l’interne, et après, il faut faire des vérifications ponctuelles, annuelles, bisannuelles, et auditer ces processus pour savoir s’ils fonctionnent, s’ils peuvent être améliorés, s’ils sont respectés », explique-t-elle.

Une démarche de conformité à la loi 25 implique forcément des coûts, mais aussi des avantages. Cela permet de valoriser les données et de bien les caractériser, selon Kateri-Anne Grenier. « Ça permet aussi de réaligner les objectifs des équipes de marketing et de vente sur ce qui est conforme et non conforme […]. Ça permet de protéger l’entreprise quand elle négocie les contrats, parce que maintenant, les obligations sont telles que l’entreprise qui veut confier des renseignements à l’extérieur du Québec doit prendre certaines précautions. Elle doit, lorsqu’elle a de nouveaux projets technologiques, faire les EFVP [évaluations des facteurs relatifs à la vie privée] », ajoute l’avocate.

Une telle démarche, quand elle est faite en amont, permet une meilleure gestion des risques. « Une entreprise qui garde trop de données trop longtemps, ou qui a des données qu’elle n’aurait pas dû collecter à la base, s’expose de façon évidente lors d’incidents de confidentialité et devra faire face à une gestion de crise. Cela concerne particulièrement les entreprises qui font affaire avec les consommateurs où le risque réputationnel est non négligeable », prévient Kateri-Anne Grenier.

La loi 25 prévoit d’ailleurs la possibilité pour la Commission d’accès à l’information d’imposer des sanctions administratives pécuniaires dans le secteur privé. Ces sanctions peuvent s’élever jusqu’à 10 millions de dollars ou 2 % du chiffre d’affaires mondial si ce montant est plus élevé.

« Lorsque des données d’individus – que ce soient des employés ou des clients – sont exfiltrées, poursuit-elle, et qu’elles sont de nature à poser un risque de préjudice pour ces personnes, par exemple un risque de vol d’identité, nous devrons non seulement assumer des frais pour notifier individuellement ces individus, mais il est fréquent que l’entreprise propose également des mesures de protection pour les aider, notamment des facilités pour s’inscrire gratuitement à un service de surveillance du crédit comme Equifax ou TransUnion. »

En fin de compte, la plupart des entreprises que Fasken a accompagnées voient dans la démarche de conformité « une mesure de prévention, et sont d’avis que les coûts investis vont être moindres que le coût de faire face à une crise soudaine […] », fait valoir Kateri-Anne Grenier.

L’article Loi 25 : une nouvelle étape est apparu en premier sur Finance et Investissement.