Protection et sécurité des renseignements personnels en temps de pandémie mondiale : Considérations pratiques

Par suite de l’épidémie de COVID-19, les entreprises et les gouvernements ont dû prendre des mesures exceptionnelles pour protéger leurs employés, leurs clients et le public. Parmi ces mesures, le recours à la technologie a facilité le télétravail et offert de nouvelles façons de collecter, traiter et communiquer des renseignements personnels.

Les entreprises traitant des renseignements identificatoires, financiers ou relatifs à la santé doivent adopter des systèmes de cybersécurité robustes minimisant le risque d’atteinte à la vie privée. Elles doivent aussi tenir compte, durant et après la pandémie, des points suivants : types de données recueillies, méthode de collecte, utilisation dans la prise de décisions, lieux d’entreposage et durée de conservation.

En quoi consiste la protection des renseignements personnels et comment a-t-elle évolué au fil du temps ?

Le droit à la vie privée est un « droit humain fondamental » reconnu dans la Déclaration universelle des droits de l’homme des Nations Unies, dans le Pacte international relatif aux droits civils et politiques et autres traités internationaux et régionaux. Les définitions varient et peuvent comprendre la confidentialité des renseignements personnels (p. ex., dossiers médicaux), la protection du corps humain (p. ex., dépistage de la consommation de drogues) et de l’espace personnel (p. ex., résidence), et le caractère privé des communications personnelles (p. ex., courriels et conversations téléphoniques). La sécurité des données consiste à protéger l’ensemble des renseignements personnels recueillis, utilisés ou entreposés, contre toute utilisation non autorisée.

Au cours de la dernière décennie, les gouvernements et les consommateurs ont accordé de plus en plus d’attention à la protection et à la sécurité des renseignements personnels. Cet intérêt grandissant s’explique surtout par la montée de la mondialisation, les progrès technologiques, l’utilisation d’outils multimédias et l’évolution des modèles d’affaires qui tirent une valeur financière de données personnelles.

Les préoccupations suscitées par la protection et la sécurité des données ont d’ailleurs incité les gouvernements à adopter une nouvelle génération de règlements. Ainsi, en 2016, l’Union européenne (UE) a promulgué le Règlement général sur la protection des données (RGPD), qui régit la collecte de données sur les résidents de l’UE par les entreprises situées en Europe et ailleurs. Le non-respect de la réglementation et des exigences en matière de protection des renseignements personnels peut entraîner des coûts exorbitants. Par exemple, en cas d’infraction au RGPD, les entreprises s’exposent à des amendes pouvant aller jusqu’à 20 millions d’euros ou à 4 % de leur chiffre d’affaires annuel (selon le plus élevé des deux montants).[1] Au cours des dernières années, plusieurs entreprises ont écopé d’amendes pour atteinte à la confidentialité des données. C’est notamment le cas de British Airways (205 millions d’euros en 2019), de Marriott International (110 millions d’euros en 2019) et de Google Inc. (50 millions d’euros en 2019),[2] qui ont été condamnées en vertu du RGPD. La Federal Trade Commission (FTC) a quant à elle sanctionné Facebook (5 milliards de dollars américains en 2019),[3] ainsi que Google et sa filiale YouTube (170 millions de dollars américains).[4]

Comment les entreprises peuvent-elles assurer la protection des renseignements personnels ?

Les risques liés à la confidentialité des données pour une entreprise dépendent largement de son modèle d’affaires, ainsi que de la nature, du traitement et de l’entreposage des données recueillies. Pour assurer la protection et la sécurité des renseignements personnels, une entreprise doit :

1. définir les responsabilités du conseil d’administration et ses obligations en matière de surveillance
2. connaître les lois et les règlements et s’y conformer
3. recueillir uniquement les données nécessaires
4. obtenir le consentement et comprendre son principe
5. adopter des pratiques rigoureuses pour gérer la sécurité des données
6. sensibiliser les employés à la protection des renseignements personnels.

En quoi la confidentialité et la protection des renseignements personnels seront-elles différentes par suite de la COVID-19 ?

Malgré le rôle important des données et de la technologie aidant les entreprises et les autorités à cerner, à suivre et à surveiller la propagation de la COVID-19, la protection et la sécurité des renseignements personnels doivent demeurer au centre des préoccupations. Une fois que les besoins immédiats suscités par la crise auront été comblés, les entreprises et les gouvernements doivent :

• veiller au respect des lois sur la vie privée: les données susceptibles d’avoir été obtenues en vertu de lois sur les mesures d’urgence, de lois modifiées ou de lignes directrices précises liées à la COVID-19, doivent être répertoriées et évaluées pour s’assurer que leur collecte, traitement ou communication respectent les lois applicables.
• réitérer le consentement des personnes et les droits relatifs aux données: Même si le consentement implicite ou la transmission volontaire de certaines informations peuvent avoir été appropriés durant la crise en vertu de changements apportés à la législation ou aux exigences, le consentement explicite pourrait être requis une fois la crise terminée, surtout si l’objectif de la collecte des données change. [5]
• vérifier la protection et la sécurité des données: durant la crise, des solutions technologiques ou d’autres mécanismes, comme les vidéoconférences, l’accueil à distance ou les vérifications numériques, peuvent avoir été adoptés, sans avoir été soumis au processus habituel de gestion du risque lié aux tiers. Les entreprises doivent combler les éventuelles lacunes de leur processus de vérification, pour éviter toute infraction aux lois sur la vie privée et toute violation des mécanismes de sécurité.

La qualité et l’efficacité des systèmes de protection et de sécurité des données qu’adoptent les sociétés figurent parmi les facteurs dont nos équipes des placements tiennent compte dans l’intégration des critères ESG. Elles incluent les processus de collecte et d’utilisation des données, l’obtention du consentement et la monétisation, la rigueur des politiques sur la confidentialité des renseignements, les responsabilités de l’équipe de direction, les audits sur la confidentialité et la sécurité, la formation du personnel, la présentation de l’information et la supervision du conseil d’administration. Pour en savoir plus sur la démarche de RBC GMA en matière d’investissement responsable, consultez le site www.rbcgam.com/ir.

Sources:

[1] Règlement (UE) 2016/679 du Parlement européen et du Conseil, 27 avril 2016, droit de l’Union européenne (Link)

[2] GDPR Enforcement Tracker, suivi par CMS. Law. Tax, consulté le 28 avril 2020 (Link)

[3] Facebook fined $5 billion by FTC, must update and adopt new privacy, security measures, 24 juillet 2019, USA Today (Link)

[4] Google and YouTube Will Pay Record $170 Million for Alleged Violations of Children’s Privacy Law, 4 septembre 2019, Federal Trade Commission (Link)

[5] COVID-19, Managing privacy and cyber issues, mars 2020, McCarthyTetrault

Clause de non-responsabilité de l’AIR
Les points de vue et opinions exprimés dans cet article n’engagent que leurs auteurs et ne reflètent pas nécessairement le point de vue ou la position de l’Association pour l’investissement responsable (AIR). L’AIR n’approuve, ne recommande ni ne garantit aucune des revendications formulées par les auteurs. Cet article est conçu comme une information générale et non comme un conseil en investissement. Nous vous recommandons de consulter un conseiller qualifié ou un professionnel en investissement avant de prendre une décision de placement ou liée à un investissement.

Auteur

Melanie Adams

Vice-présidente etchef, Gouvernance et investissement responsable

RBC Global Asset Management

Melanie Adams dirige l’équipe Gouvernance et investissement responsable, RBC Gestion mondiale d’actifs (RBC GMA), et est membre du Comité de direction. L’équipe Gouvernance et investissement responsable aide les équipes des placements de RBC GMA à intégrer les critères environnement, société et gouvernance (ESG) dans le processus de placement ; elle s’investit dans la gérance active et fournit aux clients de l’information utile sur l’investissement responsable. Depuis son entrée en fonction à RBC GMA en 2014, Mme Adams a aussi assumé des rôles liés à la gouvernance et à la stratégie des fonds. Avant d’entrer au service de RBC GMA, Mme Adams atravaillé comme conseillère juridique principale, Contentieux, pour une autre grande institution financière et comme conseillère juridique, Direction de l’application de la loi, à la Commission des valeurs mobilières de l’Ontario, notamment au sein du Bureau du procureur de la Couronne. Mme Adams a obtenu un doctorat en jurisprudence de l’Université de Toronto et un baccalauréat en sciences de l’Université de Waterloo

Maia Becker

Directrice générale, Gouvernance et investissement responsable

RBC Global Asset Management

Maia Becker Directrice générale, Gouvernance et investissement responsable RBC Gestion mondiale d’actifs Inc. En tant que directrice générale, Gouvernance et investissement responsable à RBC Gestion mondiale d’actifs Inc., Maia Becker est responsable de la conception de méthodes de mesure et de surveillance des changements climatiques pour les portefeuilles de placements. Elle aide les équipes des placements à comprendre les répercussions des changements climatiques sur l’économie et le système financier. Mme Becker a été récompensée par le prix Clean50 du Canada en 2019 pour avoir fait progresser la gestion des risques climatiques au sein des Institutions financières.