Les sociétés du secteur des technologies financières (également appelées « fintech ») sont nombreuses à devoir recueillir et traiter un grand volume de données pour pouvoir offrir des services financiers rapidement et à moindre coût. Bien souvent, il s’agit de renseignements personnels de nature sensible, comme la date de naissance, le numéro d’assurance sociale, les renseignements bancaires, les justificatifs bancaires en ligne et le pointage de crédit. Or, plus le volume de renseignements est important, plus leur sensibilité augmente; en effet, au fil du temps, une fintech peut ainsi brosser un portrait très détaillé d’une personne. Il est donc primordial de préserver la sécurité des données et de respecter les lois sur la protection de la vie privée en vigueur. Voici des conseils pour y parvenir.

1. Intégrez des contrôles de protection de la vie privée et des mesures de sécurité aux technologies dès leur mise au point. 

Pour les jeunes fintech, une atteinte à la sécurité des données risque d’avoir des effets dévastateurs sur la confiance des clients et des investisseurs. Aussi la plupart d’entre elles ont à cœur de protéger la vie privée et la sécurité des données. Elles peuvent d’ailleurs posséder à cet égard un avantage par rapport aux fournisseurs de services financiers existants : au lieu d’avoir à incorporer ultérieurement des contrôles de protection de la vie privée et des mesures de sécurité aux procédures et systèmes déjà en place, elles peuvent les intégrer directement aux technologies, et ce, dès leur mise au point. 

2. Créez et mettez en œuvre un solide programme de gouvernance de l’information.

Compte tenu du rythme fulgurant auquel sont développées et commercialisées les technologies financières, les fintech pourraient être amenées à recueillir et à traiter des renseignements personnels avant même d’avoir pleinement élaboré des lignes directrices en matière de sécurité et de protection de la vie privée. Or, elles prennent ainsi des risques inutiles.

Lors de l’enquête menée par le Commissariat à la protection de la vie privée du Canada (le « Commissariat ») sur l’atteinte à la sécurité des données du site Web d’Ashley Madison, l’exploitant du site en question, Avid Life Media Inc. (ALM), a admis avoir connu une période de croissance rapide jusqu’à l’atteinte à la sécurité des données et indiqué qu’elle s’efforçait de documenter ses procédures de sécurité et de continuer d’améliorer constamment la sécurité de l’information au moment de l’incident.

Bien que n’allant pas jusqu’à conclure qu’il s’agissait là de la principale cause de l’atteinte à la sécurité des données, le Commissariat a déclaré que « dans le cas d’une organisation […] détenant de grandes quantités de renseignements personnels sensibles, il ne suffit pas de veiller à la sécurité des données; il faut également disposer d’un cadre de gouvernance adéquat et cohérent. » Il a aussi noté qu’en dépit de sa petite taille (une centaine d’employés), ALM aurait dû mettre en place un vaste programme pour assurer la sécurité de l’information, étant donné la quantité de renseignements qu’elle détenait et la nature sensible de ceux-ci. Conclusion : les fintech, quelle que soit leur taille, auraient intérêt à mettre en place de solides programmes de gouvernance de l’information avant de procéder à la collecte et au traitement de renseignements personnels.

3. N’oubliez pas que la réglementation diffère d’un pays à l’autre

Les fintech font aussi face à certaines difficultés lorsqu’elles choisissent d’offrir un produit ou un service dans un pays où la réglementation en matière de sécurité des données et de protection de la vie privée diffère de celle du pays pour lequel ce produit ou service a été développé. Par exemple, elles doivent souvent modifier les produits et services américains qu’elles lancent au Canada en raison de la portée plus large de la définition des renseignements personnels au nord de la frontière.

Les lois canadiennes sur la protection de la vie privée disposent qu’un « renseignement personnel » désigne tout renseignement concernant un individu identifiable. Selon la jurisprudence, un renseignement est personnel s’il existe une forte probabilité que l’individu puisse être identifié à l’aide de cette information ou de celle-ci en combinaison avec d’autres renseignements. Ainsi, les renseignements sur le comportement en ligne et hors ligne qui sont associés à un identificateur unique (comme le code d’identification d’un appareil ou d’une application ou une adresse IP) seront généralement considérés comme des renseignements personnels au Canada, même si l’individu n’est pas identifié par son nom ou n’est pas identifiable par tous les utilisateurs d’un système donné.

Les fintech ne doivent pas non plus oublier qu’au Canada, les renseignements personnels auxquels a accès le public sont eux aussi assujettis aux lois canadiennes sur la protection de la vie privée. Autrement dit, sauf exception, les organisations ne peuvent recueillir, utiliser ou divulguer ces renseignements qu’avec le consentement de la personne concernée. Cette contrainte revêt une importance particulière pour les fintech qui obtiennent leurs données de sources publiques aux fins d’analyse et de prise de décision automatisée.

4. Limitez la conservation de renseignements personnels et comprenez ce qu’on entend par « dépersonnalisation » des renseignements.

Comme nous l’avons mentionné, la large définition de l’expression « renseignement personnel » fait que certains renseignements qui ne sont pas visés par la réglementation en vigueur dans d’autres pays (aux États-Unis, par exemple) sont soumis aux lois canadiennes sur la protection de la vie privée. Cette situation complexifie la vie des fintech, notamment en matière de conservation des données. Il faut savoir que la législation canadienne en la matière prévoit qu’on ne doit conserver les renseignements personnels qu’aussi longtemps que nécessaire pour la réalisation des fins déterminées et qu’on doit détruire, effacer ou dépersonnaliser les renseignements personnels dont on n’a plus besoin. 

Comme beaucoup de fintech ont des modèles d’entreprise reposant sur la capacité à générer des résultats d’analyse exploitables à partir d’un grand volume de données, il n’est souvent pas rentable pour elles, d’un point de vue commercial, de détruire ou d’effacer des données après avoir fourni un service à un client. C’est pourquoi nombre d’entre elles optent pour la dépersonnalisation. Toutefois, pour être vraiment « anonyme », l’information ne doit plus être considérée comme des « renseignements personnels », ce qui est un seuil difficilement atteignable au Canada. Par exemple, le simple fait de remplacer les identificateurs directs (comme un nom et une adresse) par un code unique ne rendra pas l’information réellement anonyme. De plus, les fintech devront trouver un moyen de dépersonnaliser efficacement les données sans pour autant en perdre l’utilité.